[Multimedia Forensic] Find Key(Hash)

Multimedia Forensic #31 Find Key(Hash)

 

31번 문제

 

문제를 보면 Apocalypse라는 이름으로 된 텍스트 형태의 파일이 주어지고, 플래그 포맷은 md5로 되어 있다고 합니다.

 

텍스트 파일 확인

 

주어진 텍스트 파일을 확인해보면 중간에 공백이 길게 들어가 있는 것을 확인할 수 있습니다.

 

주어진 텍스트 파일 긴 공백 안에 스테가노그래피를 적용한 것 같습니다.

 

따라서 주어진 텍스트 파일을 HxD를 이용해 분석해보면 긴 공백 안에 어떠한 값이 들어가 있는지 확인할 수 있습니다.

 

HxD 텍스트 파일 확인

 

텍스트 파일 공백에 데이터를 숨기는 스테가노그래피 기법에는 Whitespace 스테가노그래피 방법이 있습니다.

 

Whitespace 스테가노그래피 : 공백과 탭은 일반적으로 텍스트 뷰어에 나타나지 않기 때문에, 텍스트 라인 끝에 공백을 추가하여 아스키(ASCII)코드를 숨기는데 사용합니다.

 

확인해본 결과, Whitespace 스테가노그래피 기법을 사용했다고 예측할 수 있습니다.

 

따라서 Whitespace 스테가노그래피를 풀기 위한 도구인 SNOW를 이용해 키 값을 확인해보겠습니다.

 

SNOW : Whitespace 스테가노그래피 기법인 텍스트 공백과 탭에 숨겨진 아스키 문자를 분석해줍니다.

 

설치 사이트 : http://www.darkside.com.au/snow/

The SNOW Home Page

SNOW 도구 사용

 

키 값을 찾아내기 위해 텍스트 파일을 SNOW 도구를 이용해 실행시키면 Encore un coup des Anonymous 라는 문자열이 출력되는 것을 확인할 수 있습니다.

 

문제에서 플래그 포맷은 md5라고 하였으니, 출력된 문자열을 md5값으로 확인하기 위해 HashCalc 도구를 통해 텍스트 문자열의 md5값을 확인하였습니다.

 

HashCalc : 다양한 해시값 추출 프로그램으로, 파일 무결성 검사 도구로 많이 쓰입니다.

 

설치 사이트 : https://www.slavasoft.com/hashcalc/

SlavaSoft HashCalc - Hash, CRC, and HMAC Calculator

HashCalc 실행

 

HashCalc를 실행하면 위 화면과 같이 실행이 됩니다.

 

Data Format에서 Text String으로 바꿔주고, Data에 Encore un coup des Anonymous를 입력해주면 됩니다.

 

그런 다음, Calculate를 누르면 md5 창에 md5로 변환된 값이 나옵니다.

 

플래그 확인

 

md5로 바뀐 플래그 값을 확인할 수 있습니다.

 

FLAG = 0faec26266432f508d05bf36285ea718