반응형
마치 스테가노그래피를 암시하는 이미지 인 것 같다.
이미지를 다운로드해보면, 파일 크기가 상당히 큰 것부터 미심쩍기 시작한다.
HxD로 열어보면, jpg의 헤더 시그니처인 FF D8과 푸터 시그니처인 FF D9 가 여러 횟수 등장하는 것을 찾아볼 수 있다.
이미지 안에 여러 이미지들이 합쳐져 숨겨져 있는 상태인 것.
이럴 때 하나 하나 손수 분리해줘도 되지만, 카빙 툴인 foremost를 이용하면 편리하게 분리해낼 수 있다.
Foremost
데이터 복구를 위한 카빙 툴. (파일 시그니처를 기반으로 파일들을 카빙한다)
네트워크 패킷 데이터 추출, 악성코드 분석에 주로 사용된다.
이런 특징을 이용해, 파일을 분리해내거나 파일을 복구시키는데에 쓰인다.
해당 문제의 monitor.jpg 라는 파일을 foremost를 통해 카빙한다.
MacBook-Pro:Hevton$ foremost -a -i monitor.jpg
// a는 가능한 모든 파일형식을 대상으로 검색
그럼 디폴트로 output이라는 폴더가 생긴다.
output에는 결과로 찾아낸 다양한 파일들이 존재한다. bmp나 exe는 부정확한 결과파일들인 것 같고, jpg를 열어보면 완벽히 보존된 파일들이 많이 존재한다.
사진을 통해 조합해보면 H4CC3R_IN_TH3_MIDD33_4TT4CK 결과를 얻어낼 수 있다.
반응형
'[포렌식] > [SuNiNaTaS]' 카테고리의 다른 글
| [SuNiNaTaS] 28번 & 나중에 다시보기 (0) | 2020.12.16 |
|---|---|
| [SuNiNaTaS] 26번 (0) | 2020.12.14 |
| [SuNiNaTaS] 19번 (0) | 2020.12.12 |
| [SuNiNaTaS] 18번 (0) | 2020.12.11 |
| [SuNiNaTaS] 15번 (0) | 2020.12.10 |
