Lnk File

Lnk 확장자 파일은 보통 바로가기라 하면 된다. 하지만 바로가기라고만 표현하기에는 너무나 많은 정보를 포함하고 있기에 포렌식의 관점에서 이에 대하여 다루고자 한다. 링크파일은 주로 아래의 위치에 많이 리스트화 되어 존재한다.

# 바탕화면(Desktop) 폴더

• Windows XP : C:\Documents and Settings\<user name>\Desktop
• Windows 7 : C:\Users\<user name>\Desktop

# 최근문서(Recent) 폴더

• Windows XP : C:\Documents and Settings\<user name>\Recent
• Windows 7 : C:\Users<user name>\AppData\Roaming\Microsoft\Windows\Recent

# 시작프로그램(Start) 폴더

• Windows XP : C:\Documents and Settings\<user name>\Start Menu\Programs
• Windows 7 : C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

# 빠른실행(QuickLaunch) 폴더

• Windows XP : C:\Documents and Settings\<user name>\Application Data\Microsoft\Internet Explorer\Quick Launch
• Windows 7 : C:\Users\<user name>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch

Lnk File Format

Lnk File Format에는 크게 5가지 부분으로 나눌 수가 있다. 

Jump List

윈도우 7 이전에는 Recent와 UserAssist로 사용자의 편의성을 위하여 목록들을 유지하였다. 하지만 7에 와서는 이 두개에 더해 새로운 기능이 추가되었는데 바로 점프리스트이다.

점프 리스트란 작업 표시줄에서 아이콘에 마우스를 우클릭하면 이전에 열었던 목록이나 자주 여는 파일의 목록들이 나타난다. 이를 점프 리스트라 한다.

Path

점프리스트의 목록은 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 디렉터리에 있는 또 다른 디렉터리에 존재한다. Recent 디렉터리에는 최근에 사용된 파일이나 폴더들의 항목들이 '바로가기'의 형태로 존재하고 있다. 이러한 바로가기에 대해서는 http://kali-km.tistory.com/entry/LNK-File-Windows-ShortCut 을 참고하면 된다.

Recent에는 바로가기 형태의 파일이 존재하면 점프리스트는 어디에 있단 것인가? 바로 아래의 사진과 같은 경로에 위치하고 있다. 아래에는 2개의 디렉터리가 존재하고 있는데 두 곳에 각 각의 점프리스트가 존재한다.

AutomaticDestinations : 최근 사용한 목록(Recent)나 사용자가 직접 고정시킨 항목(Pinned)가 위치하고 있다.

CustomDestinations : 자주 사용되는 목록(Frequent)나 작업목록(Tasks)가 존재하고 있다.

저장 형태

각 폴더에는 아래와 같이 알수 없는 이름의 긴 name의 파일들이 존재한다. 앞의 16글자는 바로 App ID로 각 App에 해당하는 ID를 띄고 있으며 각 파일의 내부를 확인해보면 여러 항목들이 존재하는 것을 확인할 수가 있다. 이러한 App ID는 http://kali-km.tistory.com/entry/Jump-List-App-ID  에서 Ctrl+F로 찾아서 어떠한 프로그램의 점프 리스트 목록인지 확인할 수가 있다.

내용을 확인할 때는 HxD로 열어서 확인하거나 BinText를 통해서도 확인이 가능하다. 하지만 정확히 분석하기 위해서는 JumpList와 관련된 툴을 이용하는 것이 좋다.

결론

이러한 점프 리스트를 통하여 분석가는 사용자의 응용프로그램 사용흔적 및 패턴을 파악할 수가 있으며, 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시 부터 지속적으로 로그가 저장되어 있다. 따라서 이러한 사용자의 행위를 파아하거나 정보 유출 사건 분석에 있어서 큰 역할을 기대할 수가 있다.

참고

http://forensic-proof.com/archives/1904

http://www.forensicswiki.org/wiki/List_of_Jump_List_IDs

Application IDs

Image/Document Viewers (32-bit)

Internet Browsers (32-bit)

File Sharing/P2P (32-bit)

FTP (32-bit)

IRC (32-bit)

IM/Communications (32-bit)

Media Players (32-bit)

System Cleaners (32-bit)

Usenet Newsreaders (32-bit)

Utilities (32-bit)

선호 경로

악성코드는 보통 자신의 존재를 은닉하고자 하며, 떄로는 사용자로부터 간단한 방법을 통하여 속이고자 한다. 우선 파일의 이름을 실제 윈도우 파일과 비슷하게 kernei32.dll 로 변경하는 등 다양한 방법을 사용한다. 그 중에서 경로를 통하여 은닉하고자 할 때 주로 쓰이는 경로는 아래와 같다. 한번 살펴 보자.

# 시스템 폴더

시스템 폴더는 윈도우의 주요 시스템 파일이 존재하는 곳으로 은닉을 위해 시스템 파일과 파일명을 유사하게 변경하거나 경로를 바꿔 저장한다. 자주 사용되는 경로는 다음과 같다.

SysWOW64는 64비트 시스템에서만 존재하는 폴더로 32비트와의 호환성을 위해 존재하는 폴더이다. “%SystemRoot%\system32\” 폴더에 64비트 시스템 파일이 위치한다면 “%SystemRoot%\SysWOW64\”에는 32비트 시스템 파일이 위치한다. 따라서, 64비트 시스템에서는 2개의 폴더를 모두 조사할 필요가 있다.

# 사용자 기본 폴더

윈도우 비스타 이후부터 사용자의 홈 폴더는 “%SystemDrive%\Users\” 하위에 존재한다. 해당 폴더 하위를 살펴보면 사용자의 홈 폴더 이외에도 기본 폴더인 “Public(공용)”, “Default”가 존재한다. “Public” 폴더에는 각 사용자가 공통으로 가지는 파일(공용 사진, 비디오 등)이 저장되어 있고, “Default” 폴더에는 새로운 사용자 생성 시 초기 구성을 위한 파일이 저장되어 있다. 이런 폴더는 일반적으로 직접 들어가지 않기 때문에 공격자가 자주 은닉의 대상으로 삼는다. 또한 “Default”에 악성코드를 위치시키면 새로운 사용자가 생성될 때마다 자동 복사되기도 한다.

# 사용자 데이터 폴더

각 사용자의 응용프로그램 데이터가 저장되는 데이터 폴더는 숨긴 폴더이기 때문에 폴더 속성을 변경해야만 나타난다. 데이터 폴더도 일반적으로는 들어가지 않기 때문에 해당 경로가 악성코드 은닉에 자주 사용된다.

# 휴지통 폴더

윈도우의 휴지통 폴더는 운영체제에 의해 보호되어 있기 때문에 폴더 속성을 변경해야만 나타난다. 휴지통 폴더 하위에는 각 사용자의 SID 폴더가 나타나도 SID 폴더에 각 사용자가 삭제한 파일이 위치한다. 바탕화면에서 살펴보는 휴지통 내용은 로그인 사용자의 SID 폴더 내용이다. 악성코드는 휴지통 하위 SID 폴더와 동일한 수준으로 자주 은닉한다.

# 시스템 볼륨 정보 폴더

시스템 복원 지점이나 볼륨 섀도 복사본이 저장되는 시스템 볼륨 정보 폴더는 운영체제에 의해 보호되어 있다. 폴더 속성을 변경하면 폴더의 존재는 확인할 수 있지만 폴더 내용은 확인할 수 없다. 폴더 내용을 확인하기 위해서는 폴더의 접근 권한을 변경해주어야 한다. 따라서, 악성코드를 장기간 안전하게 은닉할 수 있고 일부 보안 솔루션은 이런 이유로 해당 폴더 하위를 진단하지 못하기 때문에 악성코드가 종종 사용한다.

# 임시 폴더

임시 폴더는 공격자가 의도하기 보다는 악성코드가 시스템에 자동 유입되거나 드롭퍼가 드롭할 때 임시로 사용하는 경로로 악성코드의 복사본이 자주 존재한다.

# 웹 브라우저 다운로드 경로

웹 브라우저의 기본 다운로드 경로나 액티브 X, 자바 애플릿 경로 등도 웹 브라우저를 이용하는 악성코드가 다운되어 있을 가능성이 많다.

# 알려진 폴더

조직마다 공통된 사양의 표준 PC를 사용하다보니 모든 사용자에게 공통으로 존재하는 폴더가 있다. 특정 조직을 공격할 때 이런 폴더들이 종종 사용되곤 한다.

# 그 밖에 폴더

앞서 언급한 폴더 이외에도 악성코드가 자주 위치하는 경로는 다음과 같다.

Reference

File System Tunneling

파일시스템 터널링이란 짧은 시간동안 해당 폴더에 삭제된 파일의 이름과 같은 파일을 생성할 경우 생성시간이 유지된다는 개념이다. 기본적으로 시간은 15초이며 이는 FAT와 NTFS에서 기본적으로 지원하는 기능이다.

이는 사실상 두번째로 생성된 파일이 삭제된 파일의 메타데이터(타임스탬프)를 재사용 하는 것이다. 이는 파일이 제거될 때 제거된 파일의 메타데이터는 임시적으로 저장되는데, 이 임시로 저장된 메타데이터는 같은 파일의 이름이 생성될 경우 해당 파일을 가리키며 결국 타임스탬프가 유지된다.

Practice - 1

간단한 실습을 해보자면 아래의 그림과 같이 dir /tc 옵션을 통하여 파일의 생성시간을 확인할 수가 있다. 처음의 file1의 생성시간은 PM 06:33으로 되어있다. 이제 ren 명령어를 통하여 해당 파일의 이름을 file2로 변경하여준다.

그 후 echo > file1을 통하여 새로운 file1을 생성한다. 여기서 파일의 생성시간을 확인하기 위하여 다시 dir /tc 옵션을 줄 경우 기존의 file1의 생성시간과 같다는 것을 확인할 수가 있다. 저 시점에서의 현재시간은 19:23:09.47로 현재 시간이 아닌 기존 파일의 생성시간을 갖는 것을 확인할 수가 있다.

이처럼 새로 생성된 파일이 그 내용 또한 갖고 오는지 확인하기 위하여 확인을 해본 결과, 타임스탬프는 가지고 오지만 해당 파일의 내용까지 가지고 오는 것은 아님을 확인할 수가 있었다.

Practice - 2

이번엔 직접 악성코드가 어떻게 동작할지 예상을 해보기 위하여 파일 시스템 터널링이 어떻게 동작할지 직접 Python을 통하여 코드를 작성해보고 실행해보았다. 가상의 시나리오는 악성코드가 kernel32.dll을 삭제하고 해당 폴더에 다시 같은 이름으로 악의적인 DLL을 설치하는 과정을 가정해보았다.

기존의 kernel32.dll의 data는 "ECHO가 설정되어 있습니다." 이지만 해당 악성코드를 실행후에는 "This is File System Tunneling."으로 변화한 것을 볼 수가 있다. 여기서 생성 시간은 유지되므로 대체적으로 운영체제가 설치될 때의 시간과 같은 생성시간(다른 정상적인 주요 DLL과 같이)을 띄고 있다.

이에 해당하는 코드는 아래와 같다. (...허접하다 참)

Reference

http://forensic-proof.com/archives/4829

Web Forensic

웹 포렌식이란 흔히 사용하는 웹 브라우저를 통해 생기는 아티팩트들을 수집하고 분석하는 것을 말한다. 현대에 웹 브라우저는 우리와 땔 수 없는 관계가 되어있으므로 이를 통한 정보 수집은 결코 시간낭비적인 것이 아니라, 오히려 정황 증거들을 수집할 수 있게 도와주므로 분석의 길잡이 역할을 해준다. 웹 브라우저로 다양한 프로그램들이 존재하지만 여기서는 자주 쓰이는 몇개의 브라우저에 대해서만 다룰 것이다. 각 브라우저에서 공통적으로 존재하는 요소들에 대하여 알아보자.

Cache

 웹 캐시는 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터로 한번 이상 접속하였던 웹 사이트를 다시 접속할 때, 변경되지 않은 정보는 다운 받지 않고 캐시에서 로딩하는 방식을 이용해 속도를 향상시키고자 사용되는 방법이다. 캐시에는 이미지파일, 텍스트파일, 아이콘, HTML파일, XML파일, 스크립트 파일 등 웹 페이지를 표현하기 위한 데이터들이 다양하게 저장되어 있다. 

Cache의 인덱스 정보로는 캐시 데이터의 위치, 다운로드 URL, 다운로드 시간, 다운로드 크기, 캐시 파일 정보 등을 얻을 수가 있다. 또한 html의 형태로 저장된 캐시의 경우 메일 본문의 가능성이 있으며 바로 열어보기가 가능.

Cookie

쿠키란 웹사이트에서 사용자의 하드 디스크에 저장시켜놓는 사용자에 관한 데이터로, 웹 사이트에서 사용자 별로 개인화된 서비스 제공을 위해 사용한다. 주로 자동 로그인이나 쇼핑몰의 열람한 물건 목록, P2P 사이트의 찜해놓은 자료나 다운받은 자료 목록 등과 같은 정보를 알 수가 있다.

쿠키 정보를 통해서 호스트, 경로, 쿠키 수정시간, 만료시간, 이름, 값을 알 수가 있다. 여기서 호스트란 접속한 사이트를 알 수 있게 해주며 경로를 통해 사용한 서비스를 유추가 가능하며, 쿠키 수정시간을 통하여 해당 사이트에 마지막으로 접속한 시간을 확인할 수가 있다. 마지막으로 이름이나 값을 통해 로그인 아이디 정보에 획득이 가능하기도 하며 사용자의 Unique ID등을 확인할 수가 있다.

History

히스토리는 단어 그대로 사용자가 방문한 웹 사이트의 정보에 대하여 알려준다. 이는 사용자의 편의를 위해서 제공된 것으로 예전에 방문한 사이트를 다시 방문하고자 할때 월별이나 일별 목록으로 확인을 통해 접근이 가능하다. 저장 방식에는 직접 접근과 간접 접근이 존재하는데 직접 접근은 URL 입력창에 직접 주소를 입력하는 방식이며 간접 접근은 링크를 통해서 접근하는 방식이다.

히스토리를 통하여 방문 사이트의 URL, 방문 시간, 방문 횟수, 웹페이지 제목(Title)과 방문 URL 내에 GET 방식으로 포함된 인자값을 통하여 검색어 정보를 추출하거나 아이디나 패스워드 정보를 추출할 수가 있다.

Download List

사용자가 의도적으로 선택해서 다운받은 파일에 대한 정보들을 리스트화 해놓은 것이다. 이는 사용자의 의도와는 관계없이 받아지는 캐시와는 구분 되는 것으로 사용자의 편의를 위하여 제공되는 기능이다. 목록을 통해서 한번 다운받았던 파일을 다시 다운 받을 수가 있다.

다운로드 리스트를 통해 파일의 저장경로, 다운로드 URL, 파일 크기, 다운로드 시간, 다운로드 성공여부 등을 확인할 수가 있다. 그리고 다운받은 목록에는 있지만 현재에는 존재하지 않을 경우 해당 파일을 다시 해당 URL에서 다운받아서 분석이 가능하다.

Internet Explorer

Cache

캐시 정보의 경우 다운로드된 캐시는 Temporary Internet 파일 형태로 저장이 되며 index.dat 파일은 해당 폴더 내 파일들의 Cache 인덱스를 저장하고 있다. 수집 방법으로는 Content.IE5 폴더 아래 , index.dat 을 수집 하거나 Content.IE5 아래의 모든 폴더를 수집하는 방식이 있다. 

Windows 10 - IE 11 : %UserProfile%\AppData\Local\Microsoft\Windows\INetCache

\AppData\Local\Microsoft\Windows\WebCache

History

History.IE5폴더 아래에 index.dat 파일의 형태로 저장이 된다. 또한 해당 폴더 안에는 다른 폴더들이 존재하는데 이는 해당 기간에 속한 히스토리의 정보들이 들어가 있다. 따라서 수집 방법으로는 index.dat 파일을 수집하거나 폴더 안에 있는 서브 폴더까지 함께 수집하는 방법이 있다.

Cookie

실제 쿠키 정보는 "계정명@호스트명.txt" 형식의 쿠키 파일 안에 저장되며, index.dat 파일은 쿠키 파일들의 인덱스 정보를 저장하고 있다. 수집 방법으로는 Cookies 폴더 아래에 index.dat를 수집하거나 폴더 아래의 모든 텍스트 파일을 수집하는 방법이 있다.

Download List

IE 9 이후부터 존재하는 기능으로 IEDownloadhistory 폴더 아래 index.dat를 수집하면 된다.

Chrome

Cache

캐시 정보의 경우 ‘data_0 ‘파일에 데이터 인덱스 정보를, data_1, data_2, data_3 파일과 나머지 파일에 캐시 데이터가 저장되며 수집 방법으로는 Cache 폴더 아래 모든 파일을 수집하여야 한다.

History, Cookie, Download List

SQLite Database 파일 형태로 각각 저장되며 History 정보의 경우 History에 저장되며, Cookie 정보는 Cookies에 저장이 된다. 마지막으로 Download 정보의 경우 History에 같이 저장이 되어있다. History 정보의 경우, 월별 정보가 ‘History Index <년-월>’ SQLite 파일로 저장되며 Download List 정보는 History 정보와 함께 ‘History’ SQLite 파일 안에 저장된다. 수집 방법으로는 Default 폴더 아래, History, History Index <년-월>, Cookie 파일 수집하여야 한다.

Firefox

여기서 <Random> 이라는 디렉터리가 존재하는데 이 <Random>에 해당하는 값은 firefox 폴더 아래 'profiles.ini' 파일 안에 저장되어 있으므로 해당 파일을 참고하면 된다.

Cache

캐시 정보의 경우 Cache Map File, Separate Cache Data Files, Three Cache Block Files 와 같이 3가지 구조로 이루어져 있다. 여기서 Cache Map File(_CACHE__)에는 각 Cache 인덱스 정보가 저장되어 있으며 이러한 인덱스 정보를 바탕으로 Meta 데이터와 Content 데이터가 Separate Cache Data Files와 Three Cache Block Files에 저장 된다. 수집하는 방법으로는  Cache 폴더 아래, _CACHE_MAP_, _CACHE_001_, _CACHE_002_, _CACHE_003_ 파일 수집하거나 Cache 폴더 아래, 모든 폴더 수집를 수집하면 된다.

History, Cookie, Download List

이 세가지는 모두 SQLite Database 파일 형태로 각각 저장되는데 History 정보의 경우 places.sqlite에 저장이 되며 Cookie 정보의 경우에는 cookies.sqlite 에 저장이 된다. 마지막으로 Download 정보는 downloads.sqlite 저장이 되므로 수집하는 방법은 <Random>.default 아래 places.sqlite, cookies.sqlite, downloads.sqlite 파일을 수집하면 된다.

Safari

Cache, History, Cookie, Download List

Cache 데이터, 인덱스 정보 모두 SQLite Database 인 Cache.db 파일에 저장되며 History, Cookie, Download List 정보는 각각 Plist 파일 형태로 저장된다. History 정보는 History.plist에 Cookie 정보는 Cookies.plist에, 마지막으로 Download List 정보는 Downloads.plist 에 저장이 된다. 따라서 수집 방법으로는 Safari 폴더 아래, Cache.db 파일을 수집해야하며, Cookies 폴더 아래, Cookies.plist 파일 수집, Safari 폴더 아래, History.plist, Downloads.plist 파일 수집을 해야한다.

Opera

Cache

Cache 인덱스 정보는 dcache4.url 파일에 저장되며 Cache 데이터 정보는 cache 폴더 아래, 각 서브 폴더에 파일 형태로 저장된다. 따라서 수집 방법으로는 cache 폴더 아래, dcache4.url 파일 수집하거나 cache 폴더 아래, 모든 서브 폴더 수집를 수집해야 한다.

History, Cookie, Download List

History 정보는 global_history.dat에 저장이 되며 Cookie 정보의 경우 cookies4.dat에 저장이 된다. 마지막으로 Download List 정보는 download.dat에 저장이 된다. 그러므로 이를 수집하기 위해선 Opera 폴더 아래의 각 파일들을 수집하여야 한다.

Edge

 Windows 10으로 넘어오면서 Microsoft는 IE가 아니라 새로운 Microsoft Edge를 배포하였다. 하지만 Edge의 경우 액티브X 라는 비효율적인 시스템으로 인하여 우리나라에선 영향력 있게 자리잡지 못하고 있다. 하지만 MS에서 지속적으로 밀어붙일려고 하는 형태이므로 추가적으로 기록을 해본다.

Edge의 경우 아직 명확하게 밝혀지고 연구된 것이 적어 아래의 정보도 정확하지는 않을 수가 있지만 그래도 필자의 PC가 현재 Windows 10인만큼 내 PC만큼에서 쓰는건데 한번 찾아보자는 마음으로 검색을 진행하였다.

 위의 경로 중에 하나를 예로 알아본다면 저 폴더의 위치로 이동했을 경우 .DAT 파일과 User라는 디렉터리만 존재하는 것을 확인할 수가 있다. 하지만 다른 폴더들은 감춰진 것으로 존재하지 않는 것이 아니라는 것을 명심해야 한다. CMD를 통해 dir 만을 입력할 경우 눈에 보이는 것과 같이 나오지만 dir /a 옵션을 주면 감춰져있던 디렉터리들을 볼 수가 있다. 이런 식으로 해당 폴더에 접근이 가능하다.

 하지만 History의 경우에는 아무리 찾아도 디렉터리만 존재할 뿐 아무 내용이 없었다. 적어도 별도의 설정을 하지 않은 나의 PC에서 저 위치에 없다는 것은 저 위치가 아니거나 다른 방법으로 접근하거나 아예 저장이 안되었거나..라는 경우의 수가 있다.

Reference

http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT_Web-Browser-Forensics_Part1.pdf

http://portable-forensics.blogspot.kr/2014/11/web-artifact.html

http://blueangel-forensic-note.tistory.com/entry/Web-Browser-Forensics-%EA%B0%9C%EC%9A%94

http://windows.microsoft.com/ko-kr/windows-10/microsoft-edge

http://stackoverflow.com/questions/31945227/edge-browser-cookie-store-location-and-access

문제 확인

이번 문제도 이전과 비슷하게 디스크 파일을 주는 것 같다. 우선 다운을 받으면 13~~로 시작하는 파일을 다운 받을 수가 있다. 바로 이어서 분석을 시작하보자.

분석

HxD로 열어서 확인을 해보면 PK 로 시작하는 것을 확인할 수가 있다. 맨앞의 시그니처가 50 4B 03 04 로 시작하는 것을 확인할 수가 있으며 이에 해당 하는 시그니처를 찾아보니 ZIP, DOCX, PPTX, JAR 등 다양하다. 하지만 문제에서 Disk라고 했으므로 우리는 Zip이라 생각하고 진행을 해보자.

압축을 해제하면 sdc.dd 라는 파일이 하나 발견된다. 이 파일에서 우리는 단서를 찾아내어야 한다. 단서를 찾는 방법은 파일 카빙의 기법과 동일하게 시그니처를 찾는 방법을 사용했다. HxD로 연다음에 각 파일의 시그니처를 찾았다.

MZ, PK, PNG 등을 찾아보았을때 유일하게 PNG 시그니처를 하나 찾을 수가 있었다. 따라서 이 .dd 파일에는 .png 파일이 있다는 것을 확인할 수가 있었다.

복구

파일의 복구 과정은 Level 0 과 같기에 생략하고 역시 칼리리눅스에 있는 Foremost를 이용해서 복구를 하였다. 복구를 하면 아래와 같은 .png 파일을 하나 추출된 것을 확인할 수가 있다. 아래와 같이 플래그가 바로 나타나기에 바로 입력해주면 레벨 2로 진행할 수가 있다.

문제 확인

http://real-forensic.com/ 에 접속을 하여 Registration을 클릭하고 닉네임과 이메일을 입력하면 해당 이메일로 아래의 메일이 도착하는 것을 확인할 수가 있다. 그리고 해당 플래그를 입력하면 Level 0 의 문제를 받을 수가 있다.

플래그를 입력하고 문제를 다운 받는다. 파일의 이름은 6186ae520a5316d4c57a630b3364f170 이다. 이제 어떻게 해야할지 아무런 말이 없으니 분석을 시작해보자.

분석

HxD로 파일을 열어서 확인해보면 아래와 같은 바이너리를 확인할 수 있다. 대부분의 파일을 시그니처를 갖고 맨 앞에 갖고 있으므로 이 파일에 대한 시그니처를 확인해본 결과 이는 .gz 인것을 확인할 수가 있다. 즉 압축파일이다. 따라서 우리는 이를 압축해제 해야한다는 것을 알 수가 있다. 

* 파일의 시그니처 확인은 http://kali-km.tistory.com/entry/File-Signature 에 포스팅 했으므로 해당 시그니처를 찾아보면 된다.

압축을 해제한 결과 해당 파일을 다시 HxD로 열어서 확인을 해보면 img0.dd 라고 써있다. 처음에는 이것도 어떤 파일의 시그니처인가 확인을 위해 검색을 했지만 나오지가 않았으며 img라는 단어를 계속 검색해보니 해당 파일에 img0, img1, img2가 존재하는 것을 확인할 수가 있었다. 따라서 이 또한 압축파일의 가능성이 존재하다 생각할 수 있으며 다시 한번 압축해제를 진행한다.

압축을 해제한 결과 아래와 같이 3개의 .dd 파일이 생성되는 것을 볼 수가 있다. .dd는 이미징된 파일 시스템이라는 것을 알게되었다. 따라서 이 3개의 .dd에서 어떠한 단서를 찾아야한다.

해당 바이너리를 확인해보면 아래와 같다. 이제 특정한 문자열이나 데이터를 찾기위해 binText를 통해 확인해보았지만 아무런 단서를 찾지 못했고 오히려 파일들의 시그니처를 검색해보았다. PE, gz 등등 찾아보다가 찾은 것이 바로 %PNG였다. 바로 이미지 파일이 존재하는 것을 확인할 수가 있었고, 3개의 .dd 파일에서 모두 png 파일의 존재 여부를 확인할 수가 있었다.

복구

png 파일이 존재하는 것을 확인했으니 해당 파일을 복구해보자. 여기선 카빙을 사용할 것이며 이에 대한 내용은 http://kali-km.tistory.com/entry/filerecovery 을 참고하면 될  것 같다. foremost를 통해 해당 이미지들에 있는 png를 복구해보자.

3개의 이미지들을 모두 각각의 폴더에 복구시켰다. 해당 폴더들을 확인해보면 0185.png와 0265.png 파일이 존재하는데 각 이미지 모두 같은 그림이 존재하는 것을 확인할 수가 있다.

결과

각 3개의 폴더에는 총 2장의 사진이 있으며 결국 총 6개의 사진은 모두 같은 이미지를 나타내는 것을 확인할 수가 있다. 해당 파일에는 텍스트를 캡처한 사진이 있으며 결국 이 텍스트의 내용이 바로 Flag 인 것이다.

I_was_N3ver_less_Alone_tHan_when_by_mYselF