파일을 다운로드 받아보았다.
일반적인 jpg 파일 은닉
위에 링크는 일반적인 jpg안에 jpg파일을 은닉하는 방식이다. 그렇기에 시그니처 및 풋터를 확인한 결과 정상적이 이였다. 하지만 이상한점이 있다면, 아래 사진과 같이 jpg 시그니처가 여러번 나왔다는 점이이다.
이에 010 에디터를 열어서, 구조를 세밀하게 검사하였다. 그 결과, 썸네일 jpg가 있다는 점을 확인하였다.
이를 추출하였다. 그결과 사진은 아래와 같다.
알 수 없는 사진이 나왔다. 이를 다시 010 에디터를 분석하였다.
이 사진 또한 썸네일을 가지고 있었다. 썸네일 다시 추출하였다.
다음과 같은 사진이 나왔다. 이를 그림판을 통해서 좌우 반전하였다.
그리고 flag값을 얻었다.
정답 : INS{MAGNIFICATION_X100_FOR_STARTERS}
출제 이유 : jpg 구조에서 app marker에는 썸네일 정보가 추가 가능하고 이를 통해서 사진을 숨길 수 있다는 점이 문제 출제 이유다.
포렌식을 공부하는 학생입니다.