포렌식_WEEK4_#NONamed wargame [Left Side B]

이릏게 나와있당.

제목이 힌트라는 것을 기억해두쟈.

 

파일을 다운받은 뒤에 압출을 풀어보니 이런 파일이 나온당.

아마 저거는 가짜 플래그값이라는 것 같다.

일단 파일은 *bmp 형식이다.

(*비트맵 디지털 그림을 저장하는 데 쓰이는 그림 파일 포맷)

 

이것도 일단 간단하게 HxD로 먼저 분석을 해보쟈.

일단 bmp파일의 시그니처는 이렇다.

여기 참고!

http://forensic-proof.com/archives/300

파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF

보니까 헤더는 정상인데 푸터가 이상하다...

Whyrano....

엄청 많은 FF와 FE가 뒤섞여있다.

둘이 형태도 거의 비슷해서 잘 구별이 안간당..

https://bpsecblog.wordpress.com/2016/08/21/amalmot_4/

암알못의 암호핥기 – 스테가노그래피

여기서 읽었던 내용이 떠오르지 않는가???!!!!!

LSB 변조가 갑자기 막ㄱ막감각마감ㄱㄱ막 떠오른다.

https://gnu-cse.tistory.com/36

이미지 파일 안에 file, text 숨기기 - 스테가노 그래피

이것도 한번 읽어보면 도움이 된다.

-> 여기서 큰 힌트를 얻었다.

 

* 잠~깐~정~리~*

 

24비트 이미지 파일인 jpeg/bmp**(이 문제 파일의 형식이다!!) 파일에 적용되는 "LBM 변조"

: 실제 이미지에 영향을 주지만 사람의 눈으로는 식별이 어렵다.

흰색=  0xFFFFFF

LSB를 변조하여 FE가 섞여 있을 수 있다.

-> 8byte씩 끊어서 분석

->  8개의 자리수 완성

-> FE의 LSB = 0, FF의 LSB = 1

-> 0과 1로 8자리 "char" 생성 가능

-> ascii에서 대응시켜 "글자" 생성 가능

 

=> 흰색 바탕 LSB를 1만큼 변조하여 사람의 눈으로는 알아차릴 수 없는 이미지 변화를 일으킨다.

이는 8byte씩 끊어서 분석하여 ascii로 '번역'할 수 있다.

 

=> 눈으로 보기에는 일정한 색인데, LSB가 1씩 차이가 난다면 이 기법을 의심해봐야 한다. 

 

위의 정리한 내용을 기반으로, 다시 문제로 돌아가 플래그값을 구해보쟈.

FE =0, FF=1이라했따.

 

일단 요렇게 c 파일을 내보내서 저장을 해주고....비주얼에서 코드를 짜보쟈.

규칙대로 1과 0으로 바꿔준 다음에, 8바이트씩 묶어서 아스키로 변환하면 될 것 같다.

 

이렇게 나름 간단?하게 코드를 짜봤따.

결과는 이렇게 나온다!

사실 처음에는 HxD에서 얼만큼 코드를 긁어와야할지 감이 잘 안잡혀서 일단 조금씩 해봤더니, 변환 후 플래그값이 온전히 안보이고 잘려서 보였다.

그래서 그냥 꽤 많이 와악ㄱ 긁어와서 코드에 넣고 돌려버렸다.

그래서 그런지 뒤에는 살짝 의미 없어 보이는 1들의 반복이 보인다...

암튼 이제 이걸 아스키로 바꾸면 끝난댯ㅅ!!!!!

 

www.rapidtables.com/convert/number/ascii-hex-bin-dec-converter.html

ASCII text,Hex,Binary,Decimal,Base64 converter

사이트는 이거 이용 홀홀

이렇게 플래그값을 얻어냈다!

 

성공!