Digital forensic

yxxun1216·2022년 11월 10일
0

과제✏️

  1. 과제 1번

압축을 해제하니 bmp라는 확장자를 가진 파일 하나만 있는 것을 확인할 수 있었다.

bmp 확장자에 대해 모르기 때문에 http://forensic-proof.com/archives/300 사이트를 참고하였더니 42 4D로 시작하는 것을 알 수 있었다.

HxD로 파일을 불러왔더니 아래 사진과 같이 시그니처 부분이 바뀌어 있었다.

처음 00 00을 42 4D로 고쳐보았더니 사진이 열리면서 플래그가 확인되었다.

  • 손상된 부분을 고친 파일의 사진
  • EVI$ION{He_wanna_be_a_hen} 플래그 확인

  1. 과제 2번

2번은 압축을 해제했더니 data 파일과 hint.txt 파일이 있었다.
먼저 data파일을 어떻게 해야할지 모르겠어서 힌트를 확인했다.

위 사진과 같이 나와있는데, 봐도 무슨 이야기인지 알 수 없어 일단 HxD로 data 파일을 불러왔다.

처음 시그니처 부분이 8BPS라고 나와있어서 1번에서 이용한 사이트에 찾아본 결과 파일 타입이 PSD로 포토샵과 관련이 있었다.
data파일을 data.psd로 바꾸어 주었더니 사진은 나왔지만 플래그를 확인할 수 없었다.

레이어에 대한 힌트를 통해 포토샵으로 편집을 해 보았더니 숨겨진 레이어로 플래그를 확인 가능했다.

  • EVI$ION{Duckiese_Summon_Doorie!} 플래그 확인

  1. 과제 3번

3번은 압축을 해제했더니 2번과 비슷한 hint.txt파일 하나와 꼬모1.jpg, 꼬모3.jpg 파일이라는 고양이 사진이 두 장 들어있었다.

꼬모1은 그냥 고양이 사진이고 꼬모3은 조금 꼬모1이 조금 편집된 사진 같았다.

hint.txt를 먼저 확인했다.

힌트를 따라서 HxD로 꼬모1을 열어 보았다. '사막에서 바늘찾기'라는 걸 보니 사진을 확대하면 될 것 같았다.

FF C0을 검색해서 SOF를 MARKER를 찾았다.

그런데 아무리 높이나 너비를 조절해도 플래그를 찾을 수 없었다. 꼬모3도 HxD로 열어서 찾아보았더니 꼬모1과 FF C0부터 이미지의 정보를 비롯한 대부분의 정보가 똑같았다.

하지만 모든 정보가 똑같으면 사진이 똑같아야 하지 않을까 의문을 갖게 되었고 HxD에 '분석-비교'라는 툴을 이용하여 두 파일 간 다른 정보를 찾을 수 있었다.

다른 부분을 똑같이 맞추어 줘야 하는 걸까 찾아보던 중 디코딩 된 부분을 살펴보니 그 자체가 플래그였다는 것을 알 수 있었다.

  • EVI$ION{FLAGCATCHER} 플래그 확인
  1. 과제 4번 - 보충하기

4번은 압축을 해제했더니 TTS 파일과 hint.txt 파일을 확인할 수 있었다. 이번에도 역시 hint.txt 파일을 먼저 확인했다.

네이버에서 TTS 서비스를 개인에게 무료로 제공한다고 한다. TTS는 음성 파일과 관련된 것으로 알고 있었는데 여전히 잘 모르겠어서 HxD로 TTS 파일을 열어보았다.

시그니처를 알아보았더니 파일 타입이 WAV 파일이었다.

확장자를 WAV로 바꾸어주고 미디어 플레이어로 재생했더니
"플래그는 다음과 같습니다. made by 클로바 보이스"
라는 목소리가 나왔다.

힌트에서 알려준 플래그 형식과 달라서 HxD에서도, 오디오 편집 프로그램으로도 이것저것 해 보았는데 전부 이렇다 할 답을 찾지 못했다.

참고한 사이트 : https://crystalcube.co.kr/123


5. 과제 5번

5번은 압축을 해제했더니 사진 한 장만 나와서 일단 HxD를 실행시켰다.

시그니처도 정확하고 높이나 넓이를 늘려도 찾을 수 없었는데 혹시나 하는 마음에 Ctrl + F4로 검색을 해 보았더니 플래그를 발견할 수 있었다.

  • EVI$ION{Hello CTF} 플래그 확인
  1. CTF-d multimedia 문제

가장 처음에 있는 문제를 선택해서 풀어보았다. hidden.jpg 라는 사진밖에 없어서 일단 다운로드 했다.

다운받은 사진은 위와 같다. 무슨 사진인지 모르겠고 일단 HxD로 열었다.

jpg 파일인데 시그니처가 이상해서 알고 있는 시그니처로 고쳐보았는데 파일이 손상되었다고 한다.

인터넷에 더 찾아보니 jpg파일 중 양자화 테이블을 사용하면 위와 같은 시그니처가 나타난다고 한다.

어떻게 할지 고민하다가 사진이 너무 밝은 것 같아서 명도를 낮추었더니 플래그를 확인할 수 있었다.

  • tjctf{th3_f0x_jump3d_0v3r_m3} 플래그 확인
profile
yxxun1216
이전 포스트

FTZ #1

다음 포스트

Digital forensic #2

0개의 댓글