~~마띠의블로그~~

FTK, Autopsy로 열어봤지만 깨졌습니다 그래서 HxD로 까봤어요 쭉 내리다보니 JFIF 라는 문자열을 발견할 수 있었고 잘 보니 JFIF 헤더 시그니처가 보이네여 그래서 처음 ~ 001403FF 까지 삭제해봤습니다 그랬더니 바로 플래그가 나왔 그런데 'FF D8 FF E0 00 10 4A 46(헤더)', 'FF D9(푸터)'가 아직 꽤 많았어요 근데 다 훼이크였고 라이언 구슬링 사진잌ㅋㅋㅋ 암튼..

본격적으로 파일을 분석하기 전에 HxD로 까봤다. 혹시 몰라 'flag'라고 검색해보니 아래와 같이 'flag.zip'라는 파일명이 다수 보였다. 통신에 쓰일 각이다. 와샥으로 pcap 파일을 열어봤다. 간간히 flag.zip라는 파일명이 보였고, 얼마 후엔 'Partial Content'를 발견할 수 있었다. 요청한 flag.zip을 나눠서 보내는 그 조각이 Parial Content일 것이다. 더 좋은 방법이 있겠지만, Length 값 내림차순으로 정렬하니 Partial Content를 전송하는 패킷만 모을 수 있었다. 그 중 아무 패킷이나 까봤더니 'flag.psd'라는 파일명도 볼 수 있었다. psd 파일이 포토샵 파일로 알고 있는데, 아마 저 데이터들을 모아 포토샵으로 열면 플래그가 있을 것 같..

여기에 들어가서 https://29a.ch/photo-forensics/#pca Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 이렇게 조정했더니 이런 플래그를 발견했다

sunrise.zip 안에 sunrise.png가 있었음 헤더 푸터도 잘 있음 이건 저번에 만든 png 파일 구조 중 일부.. 세로 크기를 이렇게 수정해보면 이렇게 밑에 플래그가 보인다.

img.jpg 입니다 HxD에 까봤습니다 바로 플래그가 보였어여 아래 사진이 Proxy.jpg HxD로 까봤더니 역시 푸터 부분에 플래그가 있었다.

vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시적으로 중지 된 것. VM이 일시 중단 될 때 소프트웨어에 의해 자동으로 생성되고, 스냅 샷 (.VMSN 및 .VMSD 파일)과 다름. Volatility 사용하자 옵션과 플러그인 설명 여기까지 psscan 출력 결과이다. 여기서 다시 한 번 문제를 보면, '이메일'이 키워드다. 키워드 '이메일'과 관련한 'OUTLOOK.EXE'가 보인다. OUTLOOK.EXE의 PID는 3196, 이를 덤프 떠보자. 3196.dmp 파일을 얻었다. 이제 strings.exe를 사용해서 덤프가 포함한 문자열을 추출해보자. '@', '.co..

jpg를 얻었다! 사진은 깨집니당 wav 파일이었다 wav로 변경했고 들어보자 1초짜리고 뭐라는지 모르겠지만 대충 거꾸로 돌려야겠다는건 알겠다. 결국 원본에서 -> 좌우 뒤집기 -> 3초로 늘리기 이렇게 변조한 파일을 들었더니 남자가 플래그를 말해주고있었다.

moon.png가 주어졌다. 일단 png 파일이 주어졌을 때 예상되는 일이 몇 가지 있다. 사이즈 조정, rgb 디코딩, 이미지 값 조정 등.. 일단 hxd에 넣어 헥스값을 관찰하자. png 파일의 헤더, 푸터는 89 50 4E 47 0D 0A 1A 0A, 49 45 4E 44 AE 42 60 82이다. 헤더는 잘 있다. 그런데 푸터 뒤에 '50 4B 03 04 ~' 이렇게 ZIP 파일 포맷이 보인다. 그 밑에 flag.txt 라는 수상한 이름도 보인다. 아마 zip 파일을 만들어 풀면, 그 안에 플래그가 있지 않을까 싶다. 그래서 PK 부터 딱 떼어서 새로운 파일, moon.zip을 생성했다. moon.zip!!! 역시 flag.txt가 있다. 그리고 암호가 있다~ 암호는 파일 이름인 moon 이었다...

Dimensionless Loading 250점 짜리 문제! flag.png 파일이 주어지고 열면 '이 파일을 열 수 없습니다'라고.. HxD로 까봤다. 일단 시그니처 관련해서는 아무 이상 없었다. 한 가지 이상한 점은, 사진 크기를 결정하는 부분이다. 핑크 부분은 width, 보라색 부분이 height를 결정한다. 조금 더 쉽게 보기 위해 010 에디터로 열어보자. 이 곳은 IHDR 청크에 해당하는 부분이다. (조만간 png 파일 구조에 관한 포스팅 올려야지) IHDR은 Image HeaDeR의 약자로, PNG 파일의 기본 정보를 담는 청크다. width, height 모두 '0'이다. 요 부분이당 그래서 사진 크기를 바꿔야겠다는 생각을 했다. 먼저 width와 height 모두 0x0200으로 변경해..