Multimedia Forensic #40 DOS 모드에서는...
문제 파일을 보면 jpg 사진 파일이 주어집니다.
파일 이름이 stegano로 되어 있는 것을 보면 문제는 스테가노그래피에 관련된 문제 같습니다.
사진 파일을 확인해보면 이상한 표정을 짓는 흑인 아이가 나오고, 16진수는 못 봤다는 것을 확인할 수 있습니다.
사진 파일은 정상적으로 실행이 되지만, 16진수에 대한 언급이 존재한다는 것을 보면 사진 파일에 무언가를 숨겨놨을 것이라고 추측할 수 있습니다.
파일을 카빙하기 위해 foremost 도구를 사용해서 분석해보았습니다.
foremost : 데이터 복구를 위한 카빙 도구로 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제 등에 자주 사용되는 툴
설치 사이트 : http://foremost.sourceforge.net/
Foremost
Foremost Introduction Foremost is a console program to recover files based on their headers, footers, and internal data structures. This process is commonly referred to as data carving. Foremost can work on image files, such as those generated by dd, Safeb
foremost.sourceforge.net
foremost를 사용하여 파일을 분석하면 exe 실행 파일이 추출됩니다.
결과를 확인하면 사진 파일 안에 00000072.exe 실행 파일이 숨겨져 있었던 것을 확인할 수 있습니다.
추출된 해당 파일을 확인하기 위해 윈도우로 옮겨서 실행하여 확인해보겠습니다.
추출된 파일을 실행해보면 플래그를 확인할 수 있습니다.
FLAG = aw3s0me_flag
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Multimedia Forensic] Hash (0) | 2019.09.04 |
|---|---|
| [Multimedia Forensic] 모두 비밀번호를 txt파일... (0) | 2019.09.03 |
| [Multimedia Forensic] 그림을 보아라. (0) | 2019.09.02 |
| [Multimedia Forensic] 우리는 바탕화면 캡처 본을 얻었다. (0) | 2019.09.02 |
| [Multimedia Forensic] 답을 찾고 제출해라! (0) | 2019.09.01 |