비전공자의 포렌식일기

문제를 보겠습니다. zip파일을 다운받고, 압축을 풀면 png파일이 하나 주어집니다. 열어보면 깨진 png파일임을 알 수 있었습니다. hxd에디터로 열어보니 헤더 시그니처가 손상되어 있음을 알 수 있었고, 정상적인 헤더 시그니처로 수정 했습니다. 수정하여 사진을 다시 열어보니 열리기는 하는데 사진이 많이 잘려있습니다. 흠...이렇게 되면 나머지 부분도 수정을 해줘야해서 png구조를 따라 가봤습니다. 1. IHDR : PNG 파일 가장 앞에 위치. 1개 존재 2. IDAT : 실제로 이미지 데이터. 데이터를 적절한 사이즈로 나누어 전송. N개 존재 3. IEND : 이미지의 맨 뒤에 위치. 1개 존재 모두 검색을 해보니 IDAT에서 1개만 소문자로 idat인것이 확인 되었습니다. 그래서 IDAT으로 변환시..

보호되어 있는 글입니다.

문제를 보겠습니다. zip파일을 다운 받아서 압축을 풀면 png파일이 하나 있습니다. 실행을 시키면 다음과 같습니다. hex값을 뒤집어 놓았다..? 그래서 hxd에디터로 열어보니 정말로 뒤집어 져 있었습니다. 그래서 이 문제는 반전을 시킨 hex값을 원래대로 해주기만 하면 되는구나 싶어서 다음과 같이 반전을 해주는 코드를 짰습니다. 위 9번줄 까지는 파일을 반전하여 새로운 png파일로 만들어 주는 과정을 담았고, 후에 나온 png파일에 있는 사진도 반전이 되어 있던 상태이기 때문에 15 ~ 18번 줄까지 추가로 붙혀줬습니다. 저렇게 코드를 입력하시면 제대로된 플래그를 찾을 수 있습니다.

문제를 보겠습니다. pdf파일을 다운 받아서 실행을 시켜 보면 다음과 같은 사진이 나옵니다. 사진만으로는 문제의 의도를 파악하기 힘들어 혹시나 또 카빙을 해야하나 싶어서 hxd에디터로 열어보니 별 문제가 없었습니다. 그래서 고민을 하던 찰나에 사진을 두리번 거리면서 커서를 왔다 갔다 했는데 먼가 수상한 것이 커서에 잡혔습니다. 해당 영역에서 커서가 화살표가 아니라 I 커서로 변하여 어떤 문자가 숨어져 있다고 생각하여 드래그를 하여 복사를 했더니 플래그 값을 찾을 수 있었습니다.

문제를 한번 보겠습니다. 주어진 파일을 다운 받아서 열어 보겠습니다. txt파일 3개가 있는데 flag.txt, hint1.txt, hint2.txt가 있습니다. 그런데, 3개의 파일 중 flag.txt만이 *이 있는것을 알 수 있습니다. zip 파일에서 *은 암호가 걸려 있다는 뜻입니다. 근데 hint1과 2는 암호가 없으니까 한번 열어 보겠습니다. 해석을 하자면 패스워드가 존재한다고 생각하니?? 와 Brute-Force(무차별 대입 공격)은 하지말라는 것입니다. 결국엔 툴을 사용하지 않고 패스워드를 풀 수 있다는 것입니다. 자세한건 zip 구조 링크를 달아드릴테니 읽어보시길 바랍니다. 바로 설명을 하자면, zip구조에서는 암호가 걸려 있지 않아도 걸려있다고 할 수 있는 방식이 존재합니다. 그래서 위 ..

문제를 보겠습니다. 주어진 파일을 다운로드 받아서 열어보니까 qwer.jpg 파일을 볼 수 있었습니다. 추측을 해본 결과 qwer.jpg 파일을 가지고 플래그 값을 찾는 형식인 것 같습니다. 그림의 형태로 보아 오뚜기 인형같이 큰거안에 작은게 들어있는 형식인 것 같아서 혹시나 하는 마음에 jpg 파일을 hxd 에디터로 열어서 jpg 푸터 시그니처인 FF D9를 입력해봤습니다. 입력 결과 다음과 같이 나왔습니다. 그림을 보시면, 푸터 시그니처 뒤에 가짜 플래그와 그 뒤에 PK로 시작하는 ZIP 시그니처가 보여서 jpg안에 숨겨진 ZIP파일이 있음을 알 수 있었고, 카빙을 진행하여 zip 확장자로 만들어 주니까 플래그 값을 구할 수 있었습니다.

문제를 한번 보겠습니다. 파일을 다운받아 보겠습니다. 다운을 받게 되면 zip파일안에 jpg파일이 하나 압축되어 있습니다. jpg파일을 열어봤으나 추리 퀴즈? 같은 내용만 적혀있고, 단서는 없기 때문에 혹시나 해서 Flag Format인 HackCTF를 입력했더니 플래그 값을 찾을 수 있었습니다.

문제를 한번 보겠습니다. 사진이 엄청 희미하게 보이는데, 저 이미지를 저장하여 사진앱으로 열게되면 플래그 값을 알 수 있습니다.

문제를 한번 보겠습니다. 주어진 zip파일을 다운받아 ftk로 실행을 시켜보겠습니다. 실행을 시켜보니 안에 들어있는 파일들이 전부다 zip bomb으로 설정되어 있었습니다. 그래서 hxd에디터로 zip파일의 끝인 50 4B 05 06를 입력 해봤습니다. 입력을 해보니 EOCD(End of Central Directory) 부분에는 이상이 없는거 같이 보였습니다. 근데, CDFH(Central Directory File Header)부분인 50 4B 01 02에서 수상한 패턴이 보이기 시작했습니다. 분명히 시그니처 부분에서는 이상이 없지만, 해당 영역을 가진 부분들이 ????yyyyyyy로 지정되어 있었습니다. 그래서 상단으로 더 올라가 CDFH가 시작되는 부분으로 갔습니다. 아까 제일 처음 보여줬던 사진..

문제를 보겠습니다. 주어진 img파일을 다운받아 ftk로 열어보겠습니다. 열었더니 수상한 파일이 하나 보였습니다. 확장자는 pptx인데, 우측 하단에 16진수로 표현된 헤더 시그니처가 50 4B 03 04로 zip파일의 시그니처로 지정되어 있습니다. 결국엔 확장자를 임의로 바꿔줬다고 생각을 하시면 될 것 같습니다. 저 pptx파일을 추출해서 zip으로 확장자를 바꾼 후 파일을 열어보겠습니다. 열어봤더니 다양한 폴더들이 존재하였고, 그 중 media폴더에 사진들이 여러개 있었는데, 그 중 하나만 수정 시간이 달랐습니다. 그래서 저 파일에 플래그 값이 숨어져있다고 생각을하고 저 사진을 추출하고 더블 클릭을 해봤습니다. 모스부호같이 어떤 기호인거 같은데...인터넷을 검색을 해보니까 maxicode라고 불리는 ..