WeChall - Training: Stegano I

심야·2022년 12월 21일

Anti CTF Digital Forensics

디지털 포렌식

목록 보기

22/24

데이터 은닉

데이터를 은닉한 문제를 풀어 다양한 데이터 은닉 기법을 이해해보자.

1번

스테가노.png
파일을 열면 위와 같이 점만 있고 아무것도 존재하지 않다.

스테가노2.png

이 파일을 Hxd editor로 확인하니 파일의 헤더 중 이미지에 영향을 안주는 부분에 Look what the hex-edit revealed: passwd:steganoI 문자열이 은닉된 걸 확인할 수 있다.

스테가노3.png

2번

이번 문제는 php확장자를 가진 파일이지만 열리지가 않는다.

스테가노4.png
HxD editor 사용해 파일을 확인하니 JFIF 헤더를 가진다. 첫번째 문제와 다르게 헤더에 특별한 것이 보이지 않아 푸터를 확인해보겠다.
스테가노5.png
파일의 푸터 FF D9로 이동하니 그 뒤에 PK 확장자가 있고 solution.txt 문자열이 있다. PK 확장자는 압축파일과 이진복합파일의 시그니처다. 그런데 solution.txt 문자열이 존재하는 걸 봐선 압축파일로 의심된다. 확장자를 zip 으로 바꾸고 파일을 열어보겠다.
스테가노6.png
예상대로 solution.txt가 있고 파일을 여니 PRSBNALHSHML 숨겨진 문자열이 있다.
두 문제로 헤더와 푸터에 데이터를 은닉하는 방법을 배워보았다.

3번

이번엔 이진복합파일에 숨겨진 데이터를 찾는 방법을 알아보겠다.
이진복합파일 : PK 헤더(50 4B 03 04)가 있는 ZIP, HWP
DOCX, PPTX, XLSX, JAR 등의 파일이다.

이진복합파일2.png
HWP 파일을 열었더니 글과 사진이 있다. 이 파일에는 사진이 한장 숨겨져있다. 어떻게 찾아야할까? 우선 HWP 확장자를 ZIP확장자로 변경하자.
이진복합파일.png

확장자를 변경 후 파일을 여니 _ rels, docProps, word 폴더가 있다. word폴더의 media폴더에 가니 사진파일 2장이 있다. 첫번째 이미지 파일은 한글파일에서 본 사진이고 두번째 이미지 파일이 숨겨져있던 사진이다.
이진복합3.png
이진복합4.png

4번

이번에는 SmartDeblur 툴을 사용해 흐릿한 사진 속 숨겨진 문자를 찾아보겠다.

디블러.png

현재 사진이 심각하게 흐려 표지판 글씨를 알아볼 수 없다.
하지만 툴의 Radius, Smoot값을 변경하면 표지판 글씨를 알아볼 수 있다.
디블러2.png

이 기술은 이미지 디블러링이란 기술이다. 블랙박스에 찍힌 자동차의 번호판을 분석할 때 사용하며 어도비도 이 기술을 사용한다.

오디오1.png

5번

이번 문제는 오디오 파일에 숨겨진 데이터를 찾는 문제다.

오디오 툴.png
Audacity 라는 음성파일 편집기 툴을 사용한다.

오디오1.png
wav 파일을 편집기에 업로드 하니 위와 같은 파형이 나온다. 숨겨진 데이터를 찾으려면 몇가지 수정을 해야한다.

1번

오디오2.png
해당 버튼을 클릭해 스펙트로그램 기능을 실행한다.

실행 결과

오디오3.png

이제 본격적으로 문제를 풀어보자.
오디오4.png
우선 보기쉽게 파일을 늘려야한다. 0k 부분을 마우스로 늘리면 위 그림처럼 된다.

오디오5.png

아직 데이터가 보이지 않는다. 8.0k 부분을 ctrl + 마우스 좌클릭해 주파수를 확대시켜보자.
오디오8.png

오디오6.png

주파수를 44k 까지 확대시키니 은닉된 데이터를 찾을 수 있다.

5-1번

오디오7.png

이번 문제는 파형이 두개인 파일이다.

오디오8.png

스테레오 트랙 분할 기능을 실행해 파일을 두개로 나눠 각각 재생해 어떤 소리를 담고 있는지 확인해야 한다.

오디오8.5.png

확인 결과 특별한 건 없다. 속도를 8000 Hz로 줄여보겠다.

오디오9.png

속도를 줄여 은닉된 데이터를 찾았다.

영상 분석

이번에는 영상 속 은닉된 데이터를 찾는 문제를 풀겠다.
이번에 사용할 툴은 Forevid이다. 이 툴은 Forensic Video Analyzer Software로 영상 포렌식에 특화된 툴이다. 이 툴은 영상 프레임을 초 단위로 끊어 jpg파일로 저장시켜준다.
영상0.png

영상을 확인하니 특별한 것 없는 영상이다. 그런데 재생 도중 순식간에 한 남성이 지나갔다. 너무 순식간이여서 확인을 못했다. 이 남성을 Forevid 툴을 사용해 찾아보자.

영상1.png

Browse 버튼을 클릭해 분석결과를 저장할 경로를 지정한 후 New project를 클릭한다.

영상3.png

추출할 영상범위를 지정해야 한다. " { " , " } " 버튼을 클릭해 범위를 지정한다.
영상4.png

영상5.png

범위를 지정했으면 File - Export - Selected frames as images를 실행한다.

영상7.png

추출된 파일들을 확인하니 영상이 초 단위로 추출되었다. 그리고 영상 재생 중 본 남성을 확인할 수 있다.
영상6.png

본 글은 보안프로젝트 디지털 포렌식 통합과정과 디지털 포렌식 도서들을 정리한 글입니다.

문제로 배우는 디지털포렌식 (이별 외 다수 지음)
디지털 포렌식 개론 (이상진 지음)
SmartDeblur 설치링크 : http://smartdeblur.net/index.html
Forevid 설치링크 : https://forevid.com/
Audacity 설치링크 : https://www.audacityteam.org/