문제 확인


http://real-forensic.com/ 에 접속을 하여 Registration을 클릭하고 닉네임과 이메일을 입력하면 해당 이메일로 아래의 메일이 도착하는 것을 확인할 수가 있다. 그리고 해당 플래그를 입력하면 Level 0 의 문제를 받을 수가 있다.

플래그를 입력하고 문제를 다운 받는다. 파일의 이름은 6186ae520a5316d4c57a630b3364f170 이다. 이제 어떻게 해야할지 아무런 말이 없으니 분석을 시작해보자.



분석


HxD로 파일을 열어서 확인해보면 아래와 같은 바이너리를 확인할 수 있다. 대부분의 파일을 시그니처를 갖고 맨 앞에 갖고 있으므로 이 파일에 대한 시그니처를 확인해본 결과 이는 .gz 인것을 확인할 수가 있다. 즉 압축파일이다. 따라서 우리는 이를 압축해제 해야한다는 것을 알 수가 있다. 

* 파일의 시그니처 확인은 http://kali-km.tistory.com/entry/File-Signature 에 포스팅 했으므로 해당 시그니처를 찾아보면 된다.


압축을 해제한 결과 해당 파일을 다시 HxD로 열어서 확인을 해보면 img0.dd 라고 써있다. 처음에는 이것도 어떤 파일의 시그니처인가 확인을 위해 검색을 했지만 나오지가 않았으며 img라는 단어를 계속 검색해보니 해당 파일에 img0, img1, img2가 존재하는 것을 확인할 수가 있었다. 따라서 이 또한 압축파일의 가능성이 존재하다 생각할 수 있으며 다시 한번 압축해제를 진행한다.


압축을 해제한 결과 아래와 같이 3개의 .dd 파일이 생성되는 것을 볼 수가 있다. .dd는 이미징된 파일 시스템이라는 것을 알게되었다. 따라서 이 3개의 .dd에서 어떠한 단서를 찾아야한다.


해당 바이너리를 확인해보면 아래와 같다. 이제 특정한 문자열이나 데이터를 찾기위해 binText를 통해 확인해보았지만 아무런 단서를 찾지 못했고 오히려 파일들의 시그니처를 검색해보았다. PE, gz 등등 찾아보다가 찾은 것이 바로 %PNG였다. 바로 이미지 파일이 존재하는 것을 확인할 수가 있었고, 3개의 .dd 파일에서 모두 png 파일의 존재 여부를 확인할 수가 있었다.


복구


png 파일이 존재하는 것을 확인했으니 해당 파일을 복구해보자. 여기선 카빙을 사용할 것이며 이에 대한 내용은 http://kali-km.tistory.com/entry/filerecovery 을 참고하면 될  것 같다. foremost를 통해 해당 이미지들에 있는 png를 복구해보자.

3개의 이미지들을 모두 각각의 폴더에 복구시켰다. 해당 폴더들을 확인해보면 0185.png와 0265.png 파일이 존재하는데 각 이미지 모두 같은 그림이 존재하는 것을 확인할 수가 있다.


결과


각 3개의 폴더에는 총 2장의 사진이 있으며 결국 총 6개의 사진은 모두 같은 이미지를 나타내는 것을 확인할 수가 있다. 해당 파일에는 텍스트를 캡처한 사진이 있으며 결국 이 텍스트의 내용이 바로 Flag 인 것이다.



I_was_N3ver_less_Alone_tHan_when_by_mYselF

'Forensic > WarGame' 카테고리의 다른 글

Real Digital Forensic Level 1  (0) 2015.09.18