비전공자의 포렌식일기

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

2022년 6월 4일 BCACTF 3.0에 참가를 하게 되었습니다. [Broken Image] 문제는 다음과 같습니다. 파일이 하나 있어, hxd 에디터로 열어 봤습니다. 헤더 시그니처가 png인것으로 보아 png로 확장자를 바꿔줬습니다. [My New Friend] 문제를 보겠습니다. 주어진 파일은 다음과 같습니다. hxd에디터로 열어보니 아무런 문제가 없어 리눅스로 들고가서 png파일에 스테가노를 한 것으로 추정돼, zsteg 명령어로 파일을 봤습니다. 플래그를 찾을 수 있었습니다. [Zoinked Zip 1] 문제를 보겠습니다. 주어진 파일은 다음과 같습니다. 실행을 시켜보니 손상되어 있었습니다. 헤더가 손상되었다..그래서 hxd에디터로 정상적으로 헤더를 돌려줬습니다. 이 부분을 다음과 같이 고쳐주..

4월 1일부터 4월 3일까지 개최되는 Space Heroes CTF2022에 참가하였다. 뒤늦게 알게되어 4시간정도밖에 시간이 없었지만 열심히 하려고 했다. [Space Captain Garfield] 주어진 파일을 다운 받으니, 다음과 같은 사진이 나왔습니다. 글 대신 이모티콘이 있음을 알았고, 저 그림과 동일한 사진을 찾기 위해 구글에서 사이트를 1시간 가량 뒤졌습니다. 그래서 동일한 사진을 찾았습니다. 저기 사람이 한명 추가되었고 ?????{??????????????}로 되어있는것이 있어 저게 플래그 값이구나 싶어서 따라 입력했습니다. FLAG : SHCTF{LASAGNALOVER} [The Legend of the Chozo] 주어진 파일을 다운 받으니 .chr 확장자로 되어 있어서 메모장으로 열..

HackCTF의 마지막 문제입니다. 문제에 적혀 있듯이 LSB관련된 문제임을 바로 알았습니다. LSB에 대해서 간략하게 설명 하겠습니다. LSB는 Least Significant Bit의 약자로써 하나의 데이터 형에서 가장 낮은 위치의 Bit를 의미합니다. 반대로 하나의 데이터 형에서 가장 높은 위치의 Bit는 MSB라고 합니다. 그림을 통해서 쉽게 알아 보겠습니다. 일단 LSB의 위치는 가장 값이 작은 비트인 2^0에 위치하고 있는 것을 알 수 있습니다. 이 LSB의 값을 이용하여 해당 데이터 형에 들어있는 실제 숫자가 짝수인지 홀수인지 손쉽게 알아낼 수 있습니다. LSB는 프로그래밍 시 주로 난수발생 함수, 해시 함수, 검사합(Checksum) 함수 등에서 많이 쓰이고 있습니다. 왜냐하면 LSB는 값..

문제를 보겠습니다. zip파일을 다운 받고 압축을 풀면 2장의 사진이 나옵니다. 이렇게 보면 똑같이 생겼습니다..하지만 문제에 나와 있듯이 잔상...잔상...compare...을 생각해보니 두 사진을 비교를 해야 하는것을 알아냈고, hxd에디터에 compare기능을 한번 활용 해봤습니다. 경로는 다음과 같습니다. 경로 : [Analysis] - [Data comparison] - [compare] 기능을 써보니 먼가 값이 0x48, 0x61 ... 등등 아스키 값으로 Hack이란 글자를 볼 수 있었고, 다음과 같은 파이썬 코드를 짰었는데, 플래그 값이 정상적으로 출력 했습니다.

문제를 보겠습니다. 7z파일을 다운받아서 7-zip으로 압축을 풀었습니다. 풀게되면 jpg파일이 하나 나오는데, hxd에디터로 열어보니 확장자랑 hex 값이랑 너무 달라서 칼리에서 file로 어떤 유형인지 확인해봤습니다. 명령어 실행 후, M4A 오디오 파일임을 알았습니다. M4A 오디오 파일이란? MPEG-4 오디오 파일입니다. 애플 iTunes Store에서 노래를 다운로드하면 m4a파일로 다운이 되며, 뒤에 ALAC/AAC-LC는 파일의 크기를 줄이기 위한 인코딩 방식입니다. ALAC(Apple Lossless Audio Codec), AAC(Advanced Audio Coding) 문제로 넘어가서 확장자를 m4a로 바꾸고 실행시키면 소리가 나오는데, 소리가 뒤집어 져 있는 상태로 플레이가 되어 있..

문제를 보겠습니다. zip파일을 다운받고, 압축을 풀면 png파일이 하나 주어집니다. 열어보면 깨진 png파일임을 알 수 있었습니다. hxd에디터로 열어보니 헤더 시그니처가 손상되어 있음을 알 수 있었고, 정상적인 헤더 시그니처로 수정 했습니다. 수정하여 사진을 다시 열어보니 열리기는 하는데 사진이 많이 잘려있습니다. 흠...이렇게 되면 나머지 부분도 수정을 해줘야해서 png구조를 따라 가봤습니다. 1. IHDR : PNG 파일 가장 앞에 위치. 1개 존재 2. IDAT : 실제로 이미지 데이터. 데이터를 적절한 사이즈로 나누어 전송. N개 존재 3. IEND : 이미지의 맨 뒤에 위치. 1개 존재 모두 검색을 해보니 IDAT에서 1개만 소문자로 idat인것이 확인 되었습니다. 그래서 IDAT으로 변환시..