keyword : 카빙, foremost
url :
지문에는 아무런 단서가 없고 unkown이라는 파일이 하나 주어진다. 시작 시그니쳐를 보면 MZ로 실행파일임을 알 수 있지만, 실행파일 문제가 포렌식으로 나올리 없고, 데이터의 크기로 보아 다른 데이터가 숨어 있을 것이라고 판단이 되었다. 해서 카빙을 했는데, R-Studio도, winhex도 만족스러운 결과물을 도출하지는 못하였다. 그래서 검색을 하던 도중 linux계열에서 사용되는 foremost를 사용해 보기로 하였다.
[ foremost carving ]
[ resut file list ]
카빙을 하면 위처럼 다양한 카테고리 별로 파일이 추출된다. 여기서 zip의 00008888.zip파일을 보아야 한다. 압축을 풀면 다음과 같은 목록이 생성된다.
[ 00008888.zip file list ]
파일 목록 중 plist가 있는 것으로 보아 OS X계열에서 사용되는 파일 중 하나였을 것이다. 사진 파일에는 특정한 단서가 없고 index.xml파일을 보아야 한다.
이 파일의 내용을 보다보면 아래와 같은 다량의 base64로 인코딩 된 듯한 데이터를 볼 수 있을 것이다.
python을 통해 이 데이터를 base64 디코딩을 하면 png파일을 얻을 수 있다. 이 png파일의 내용이 답이 된다.
Answer : 1LOVEP4G3S0NM4C
'CTF | wargame' 카테고리의 다른 글
| codegate 2013 - forensic 300 (docx 분석) (0) | 2017.03.29 |
|---|---|
| codegate 2013 - forensic 500 (R-Studio 카빙, Logical File Hash) (0) | 2017.03.29 |
| volgactf 2017 / nested (USB 패킷 분석, 복구, jpg, gz 스테가노그래피 - outguess, gzsteg) (0) | 2017.03.29 |
| insomnihack 2017 - The Great Escape part 1 - Forensics (와이어샤크 ssl 키 적용 분석) (0) | 2017.03.29 |
| wargame.kr / ip log table (blind sql injection) (0) | 2017.03.27 |