포랜식 level 1

Snowing!

드림이 : 우와! 밖에 눈이 많이와요!
드림맘 : 그렇네~
드림이 : 거의 모두 하얀공간뿐이네요.

스테가노그래피 (steganography)

• 정의 : 메시지, 이미지, 또는 비디오 같은 일반적인 파일 안에 데이터를 숨기는 심층 암호 기술

• 원리
  : 파일에 불필요한 데이터가 상당수 포함되어 있으며, 이런 노이즈를 다른 메시지로 대치해도 겉으로 확인되지 않는다는 사실을 이용함
  (MSB는 주로 색상을 결정하기 때문에 사용X)

• 방법

1. 비트 플레인 분산 방식
   • 원리 : 상위 비트는 영향력이 크고(MSB), 하위 비트일수록 인지성이 감소(LSB)
   • 예) 중요도가 낮은 비트들을 원하는 정보로 바꿔 넣는 방식
2. 파일 뒤에 삽입하는 방식
   • 원리 : 파일의 끝을 알리는 시그니처 뒤의 데이터는 무시된다는 사실을 이용
   • 예) JPEG 파일의 경우, 푸터 시그니처인 FF 09 이후의 값들은 무시

whitespace steganography

• 스페이스, 탭 문자, 개행 문자 등 공백 부분(whitespace)에 데이터를 은닉
• snow.exe나 stegsnow 이용하여 해결
  • whitespace 스테가노그래피를 찾아서 복호화하는 역할.
• but, 우리는 없이 해결해야 함... 방법을 찾아보자

Hex Editor

• 대체제 : https://hexed.it/
  

파일 시그니처

• JPEG/JFIF
  - Header : FF D8 FF E0 xx xx 4A 46 49 46
  - Footer : FF D9
  
• JPEG/EXIF
  - Header : FF D8 FF E8 xx xx 45 78 69 66
  - Footer : FF D9

땅파보기

• jpeg 파일 hexed
  

:) 수상한게 한두개가 아닌데....
1 - JFIF header도 있고 EXIF header도 있어..?
2 - 다운받은 원본인데 This content is subject to copyright...?
3 - JFIF header로 시작하고 footer도 맨 마지막에 있는데 왜 앞쪽에 ye가 있을까.
	전에 ye도 어떤 시그니처였던 것 같은데?

• flag 파일 hexed
  

20은 공백, 09와 0A는 .(점)
뭘까...
fake snow인거니까 눈이 있는 사진이 가짜인가? 그럼 이 파일을 탐색해야 하나?
눈이 거짓인데, hexed하면 09랑 0A가 눈처럼 보이니까 다 없애면 뭐가 나오나?

-- 공백에 들어있는 문자 탐색
https://www.ascii-code.com/
09 : Horizontal Tab (수평 탭)
0A : Line Feed (개행)
20 : space