들어가기에 앞서
블로그를 만들고 글을 작성해야지 해야지 하다가 처음으로 작성하게 되었어요. 조금 어설프더라도 다들 유용하게 봐주셨으면 좋겠습니다~!!
그러면 동아리에서 포렌식 교육을 듣고 있는데, 1주차 과제로 내주신 3 문제 중에서 첫 번째 문제인 Suninatas 21번 문제 풀이를 지금부터 문제 풀이를 시작하도록 하겠습니다~!!
써니나타스는 워게임 사이트로 주소는 http://suninatas.com/ 입니다.
문제를 들어가서 보니 다음과 같은 그림이 보인다.
문제에서 Solution Key가 무엇인지 묻고 있는데, 사진을 자세히 보면 Solution Key가 자에 의해서 가려져 있다.
이를 통해서 우리는 자에 의해 가려진 Solution Key를 알아내서, Auth에 이 Key 값을 입력하면 해결되는 문제라고 생각할 수 있다.
우선, 포렌식 분야의 문제이므로 사진 파일을 다운 받아서 분석해 볼 필요가 있다.
여기서 파일의 사이즈가 1.5MB로 jpg 파일치고는 사이즈가 비정상적으로 크다고 볼 수 있다.
JPEG
JPEG(Joint Photographic Experts Group)는 정지 화상 즉, 사진 이미지를 위해서 만들어진 손실 압축 방법 표준으로, JPEG를 사용하는 파일 형식들도 보통 JPEG 이미지라 불리며, .jpg, .jpeg, .jpe 등의 확장자를 사용한다.
JPEG는 손실 압축 형식이지만 파일 크기가 작기 때문에 웹에서 널리 쓰인다. 압축률을 높이면 파일 크기는 작아지지만 이미지 품질은 더욱 떨어진다는 특징이 있다.
출처: ko.wikipedia.org/wiki/JPEG
JPEG - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. JPEGJPEG 압축의 화질 비교. 오른쪽에서 왼쪽으로 갈수록 압축률이 높은 대신 화질 손상이 많이 일어난다파일 확장자.jpg, .jpeg, .jpe.jif, .jfif, .jfi인터넷 미디어 타
ko.wikipedia.org
앞서 비정상적으로 사이즈가 크다고 했는데, 처음에 1.5MB가 별로 큰 사이즈는 아니라고 생각할 수 있다. 하지만, JPEG의 특징에 대한 설명을 읽고 나면, 사이즈가 꽤 비정상적으로 크다는 사실을 알 수 있다.
사이즈가 비정상적으로 크다는 것은 사진이 한 장이 아니라 여러 장의 사진이 한장의 사진 파일에 겹쳐져 있다고 생각해 볼 수 있다.
=> 칼리 리눅스에 기본으로 내재되어 있는 foremost 툴을 사용해서 개별 파일을 복구할 수 있다.
foremost
foremost는 리눅스에서 데이터 복구를 위해 사용되는 프로그램으로 디스크 hex 데이터에서 파일의 헤더, 푸터, 데이터 구조 등을 이용해서 개별 파일을 복구한다.
특히, 포렌식 분야에서 알 수 없는 파일 혹은 여러 개의 파일들이 합쳐져 있어 보이는 파일을 분리할 때 주로 사용된다.
자세한 정보는 https://en.wikipedia.org/wiki/Foremost_(software)
사용법
foremost -h
터미널 창에 위의 명령어를 입력하면, 다음과 같이 사용법에 대해서 나온다.
자세한 사용법이 궁금하다면, 다음 사이트를 참고하면 좋을 것 같다. https://m.blog.naver.com/koromoon/220553895618
자.... foremost를 사용해봅니다!
추출될 파일 형식은 모르니까 all로 하고 입력할 파일은 우리가 분석한 monitor.jpg 파일이다.
분석된 결과 디렉토리에 output 폴더가 생성된다.
숨겨진 사진 파일들이 여러 개 있는데, 각 파일마다 다른 각도에서 찍은 사진들이 담겨 있다.
하나씩 확인해서 Solution Key를 알아내면 된다.
알아낸 Solution Key를 Auth에 입력해주면 문제가 해결된 것을 확인할 수 있다!
처음으로 작성한 글이 포렌식 문제 풀이가 될 줄은 몰랐지만, 누군가가 이 풀이를 본다면 최대한 이해하기 쉽도록 작성하려고 했다. 처음 접한 포렌식은 포너블, 리버싱과는 다르게 다양한 툴을 사용하고 시스템 구조가 아닌 파일 내부 구조에 대해서 자세히 아는 것이 주요 포인트라는 생각이 들었다.
앞으로 교육을 들으면서 배운 것들이나, 푼 문제들의 풀이를 올릴 예정이다.
유용한 정보가 되었기를 바란다!