[Disk Forensic] 조개를 찾아 열고, 진주를 찾으십시오.

Disk Forensic #13 (조개를 찾아 열고, 진주를 찾으십시오.)

 

디스크 포렌식 13번 문제

 

해당 문제 파일로 out.img 이미지 파일이 주어진다.

 

이미지 파일 분석을 위해 FTK Imager를 통해 해당 파일을 분석해보자.

 

FTK Imager : 포렌식의 가장 기본 도구로, 디스크 이미징 작업에 많이 활용

 

다운로드 사이트 : https://accessdata.com/product-download/ftk-imager-version-4-2-1

FTK Imager version 4.2.1

[그림 1] out.img 분석 내용

 

FTK Imager로 해당 이미지 파일을 열어보면 USB에 대한 이미지 파일이라는 것을 확인 가능하다.

 

여러 파일과 디렉토리를 분석하던 도중 밑에 [unallocated space]에서 수상한 파일을 발견하였다.

 

[그림 2] ZIP 파일 헤더 시그니처 발견

 

해당 파일의 사이즈가 매우 큰 것부터 이상하고, 헤더 시그니처는 ZIP 파일의 시그니처인 것을 확인하였다.

 

해당 파일을 추출한 다음, 확장자를 zip으로 바꾼 후에 압축을 풀어 상세 분석을 진행하였다.

 

[그림 3] ppt - media 디렉토리

 

파일의 압축을 풀어주면 여러 상위 디렉토리들과 파일들이 존재한다.

 

그 중에서 ppt 상위 디렉토리에 있는 media라는 하위 디렉토리로 들어가 보면 [그림 3]과 같이 수많은 그림 파일들이 존재한다.

 

[그림 3] 플래그 관련 파일 발견

 

 

맨 처음에 있는 image0.gif라는 파일이다.

 

뭔가 QRcode와 비슷하게 생겨서 해당 파일에 대한 정보를 구글링을 통해 검색해본 결과, MaxiCode라는 형태의 파일이라는 것을 확인하였다.

 

MaxiCode : 기계 판독 기호 시스템으로 육각형의 점이 배열된 형태

 

해당 파일이 디코딩할 수 있는 파일이라는 것을 확인하였으므로, MaxiCode를 디코딩할 수 있는 사이트로 이동하여 해당 파일을 디코딩해보자.

 

MaxiCode 디코딩 사이트 : https://zxing.org/w/decode.jspx

ZXing Decoder Online

 

[그림 4] 플래그 확인

 

위 사이트에 접속해서 image0.gif 파일을 업로드한 다음, 결과를 확인해보면 [그림 4]와 같이 MaxiCode에 대한 여러 정보들을 확인할 수 있다.

 

마지막 Parsed Result를 플래그로 입력해주면 문제를 해결할 수 있다.

---

# Reference

 

http://www.yes24.com/Product/Goods/59156934