Multimedia Forensic #41 모두 비밀번호를 txt파일...
이번에는 문제에서 처음 보는 확장자인 rtf 파일이 나옵니다.
rtf 파일은 서로 다른 운영체계 내에서 운영되는 워드프로세서들 간에 텍스트 파일을 교환하기 위한 형식이라고 합니다.
그래서 rtf 파일에 저장된 내용을 확인해보았습니다.
파일 내용을 확인해보면 hex 값의 데이터가 들어가 있는 것을 확인할 수 있습니다.
자세히 보면 89 50 4E 47 0D 0A 1A 0A라고 시작되는 PNG 파일 시그니처를 확인할 수 있습니다.
test.rtf 파일에 있는 내용은 png 파일의 hex 데이터라는 것을 확인할 수 있습니다.
rtf 파일에 있는 내용 중에 앞에 필요 없는 내용은 지우고, \' 89부터 끝에 \' 00까지 복사를 한 다음 메모장에 붙여넣기를 해주었습니다.
\와 '를 지우기 위해 메모장에서 편집(E) - 바꾸기 기능을 이용하여 \과 '를 제거해주었습니다.
\과 '를 모두 제거해주면 이렇게 Hex 값만 남게 됩니다.
이걸 그대로 복사해서 HxD에서 새로 열기를 누르고, 붙여넣기를 해주었습니다.
그리고 다른 이름으로 저장을 해주고, 확장자를 png로 바꿔 주면 하나의 png 파일이 생성됩니다.
파일을 확인해보면 호머 심슨 사진이 나옵니다.
이번에는 png 파일을 분석하다가 숨겨진 데이터가 있는 것을 binwalk 도구를 통해 확인하였습니다.
binwalk : 대표적인 펌웨어 분석 툴로, 펌웨어 분석뿐만 아니라 포렌식 시 파일 카빙 등에 사용할 수 있는 유용한 도구
참고 사이트 : https://github.com/ReFirmLabs/binwalk
ReFirmLabs/binwalk
Firmware Analysis Tool. Contribute to ReFirmLabs/binwalk development by creating an account on GitHub.
github.com
확인해보면 flag.txt의 zip 파일이 안에 숨겨져 있는 것을 확인할 수 있습니다. (파일 이름은 편하게 111로 변경한 것입니다.)
이번에는 foremost를 통해 안에 있는 파일들을 확인할 수 있었습니다.
foremost : 데이터 복구를 위한 카빙 도구로 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제 등에 자주 사용되는 툴
설치 사이트 : http://foremost.sourceforge.net/
Foremost
Foremost Introduction Foremost is a console program to recover files based on their headers, footers, and internal data structures. This process is commonly referred to as data carving. Foremost can work on image files, such as those generated by dd, Safeb
foremost.sourceforge.net
생성된 output 디렉토리를 확인해보면 00000100.zip 파일을 카빙 한 것을 확인할 수 있습니다.
unzip 명령어를 사용하여 00000100.zip 파일의 압축을 풀어주었습니다.
이제 안에 있던 flag.txt 파일을 열어서 확인해보겠습니다.
flag.txt에 쓰여 있는 플래그 값을 확인할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Multimedia Forensic] basisSixtyFour (0) | 2019.09.05 |
|---|---|
| [Multimedia Forensic] Hash (0) | 2019.09.04 |
| [Multimedia Forensic] DOS 모드에서는... (0) | 2019.09.02 |
| [Multimedia Forensic] 그림을 보아라. (0) | 2019.09.02 |
| [Multimedia Forensic] 우리는 바탕화면 캡처 본을 얻었다. (0) | 2019.09.02 |