정규세션 복습
디지털 포렌식 : 컴퓨터를 통하여 발생한 범죄에 대한 과학 수사
디지털 포렌식 5대 원칙
1. 디지털 증거는 법적 절차에 해 수집되어야 한다는 정당성의 원칙.
2. 디지털 증거는 습득 후 어떠한 일이 발생하여도 변조가 되어서는 안된다는 무결성의 원칙.
3. 디지털 증거의 습득, 이송, 분석, 보관, 법정 제출 각 단계에서 담당자와 업무자를 명확히 하여야 한다는 연계성의 원칙.
4. 모든 과정은 지체없이 신속하게 진행되어야 한다는 신속성의 원칙.
5. 피해 직전과 같은 환경에서 현장 재현 시 피해 당시와 동일한 결과가 나와야 한다는 재현의 원칙.
스테가노그래피(Steganography) : 전달하려는 기밀 정보를 다른 파일, 메시지, 이미지 또는 비디오 안에 숨기는 심층 암호 기술
파일 시그니처(File Magic Number)
- 파일 형식마다 가지고 있는 고유의 특징
- 형식마다 특정한 byte값이 정해져 있어서 파일의 확장자가 진짜인지 확인 가능하고, 은폐된 파일의 존재 여부를 확인 가능하다
- HxD와 같은 Hex Editor로 분석 가능하다
문제 풀이
문제 1. 내 친구는 이것이 특별한...
주어진 사진을 HxD로 열어서 보면 쉽게 key를 얻을 수 있다. 
flag는 h1d1ng_in_4lm0st_pla1n_sigh7
문제 2. Find Key(butterfly)
주어진 나비 사진을 포렌식 사이트 도구를 사용해서 보면 쉽게 Key를 쉽게 얻을 수 있다. 
flag는 sun{RE4DY_THE_4CID_M4GNET!}
문제 3. 우리는 이 파일에 플래그를...
먼저 주어진 파일을 HxD로 열어서 보면 파일 시그니처에 의해 이 파일이 GZ파일임을 알 수 있다. 
그래서 확장자명을 GZ로 바꿔주고 압축을 풀려고 했는데 풀리지 않았다. 열심히 구글링 한 결과 반디집으로 GZ압축파일을 풀어줄 수 있었다. 
flag는 ABCTF{broken_zipper}
문제 4. 계속 주시해라!
이 문제도 주어진 사진을 HxD로 열어서 보면 쉽게 key를 얻을 수 있다. 
flag는 16bbee7466db38dad50701223d57ace8
문제 5. 이 파일에서 플래그를 찾아라!
zip파일이 주어지는데 압축을 풀어보면 sunrise사진이 있다. 일단 HxD로 열어 보았는데 별다른 특이점을 찾지 못해서, 포렌식 사이트 툴을 사용해서 봤는데도 특별한 점을 찾지 못했다. 구글링을 해본 결과 사진 크기를 변경해야하는 문제였다. PNG 파일 헤더 구조를 참고해서 HxD로 사진의 크기를 조정하면 key를 얻을 수 있다.
flag는 SECCON{Metadata_modification_is_used_for_information_hiding.}
문제 6. basics
주어진 사진을 아까 사용한 포렌식 사이트 도구를 사용해서 보면 쉽게 Key를 쉽게 얻을 수 있다. 
flag는 L1nux3rror
문제 7. Graphics Interchange Format
주어진 gif파일을 HxD로 열어서 보았는데 별다른 특이점을 찾지 못했다.
혹시 몰라서 flag를 검색했는데 flag가 바로 나왔다. 
flag는 gandalfthebest
