디지털 포렌식
포렌식
먼저 '포렌식'은 고대 로마시대의 '포럼'이라는 단어에서 유래한 단어로 범죄수사 및 민/형사 소송 등 법정에서 사용되는 증거의 수집, 분석, 보존 등등을 위한 응용 과학 분야를 통칭하는 뜻으로 쓰이고 있습니다.
디지털 포렌식
디지털 포렌식은 컴퓨터 범죄(해킹, 바이러스, 사기 등등)와 관련된 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야입니다. 즉, 디지털 기기를 매개체로 하여 어떠한 결과(대체적으로 컴퓨터 범죄)의 원인과 과정을 밝혀내는 활동입니다. 디지털 포렌식은 크게 두 부류로 나눌 수 있습니다.
->사고 대응 포렌식
->정보 추출 포렌식
또 디지털 포렌식은 분석 대상에 따라 4가지 부류로 나눌 수 있습니다
시스템 포렌식
모바일 포렌식
디스크 포렌식
네트워크 포렌식
CTF-D - Multimedia 문제 풀어보기
위의 3문제를 한번 풀어보도록 하겠습니다.
1번째 문제
사진(jpg) 파일이 있는걸로 보아, jpg파일을 분석하여 플래그를 얻어내는 문제라는 것을 알 수 있습니다.
사진만 봐서는 모르겠네요... 아마도 색을 반전시키거나, 그림을 확장하는 방법을 사용해야 뭐가 보일것 같습니다😅
이러한 사진 파일을 분석하는데 유용한 사이트가 있습니다. 이 사이트에서 이 사진을 분석해 보고자 하는데요.
링크텍스트
위 링크로 들어간 후, 아까 저장한 사진 파일을 불러내 봅시당.
오른쪽 옆의 여러 기능들 중에서, 제일 첫번째에 있는 Magnifier 기능을 사용해 볼까요?
Enhancement를 Auto contrast(자동 색상 보정)로 해 놓고, 마우스를 사진에 갖다 대 봅시다.😎
자동으로 색상을 보정하면서 그림을 확대해본 결과, 이렇게 플래그 값을 얻을 수 있습니다. 얻은 플래그 값을 문제 사이트에 입력하면, 문제가 해결되었다고 뜹니다☺
2번째 문제
2번째 문제를 풀어볼까요?
위의 사진이 첨부되어있는 문제입니다. 사진을 분석해서 플래그를 얻는 문제인 것으로 보입니다. 문제에서 힌트가 나와있는데요,
사진에서 ABCTF가 그려진 곳에 단서가 있다는 의미로 해석하고, 첫번째 문제에서와 마찬가지로 사진 분석 사이트를 통해 사진을 분석해 보았습니다. 하지만 색상을 보정하거나 반전해도, 확대하거나 축소해도 플래그 값이 나오질 않더라구요.....계속 사진 가지고 이것저것 해 보다가 포기하고 대신 사진 파일의 Hex값을 HxD를 통해 분석해 보았습니다.
HxD를 키고, 사진파일을 불러옵니다.
이렇게 사진 파일의 Hex 값이 뜨는데요, 여기서 찾기 창(Ctrl +f)을 통해, 힌트에서 언급한 'ABCTF'를 찾아보았습니다.
텍스트 문자열 ABCTF를 찾아보니, ABCTF{key}의 형태로 된 Decoded text를 발견할 수 있었습니다. 여기서 key값은 플래그 값입니다. HxD 프로그램을 통해 플래그 값을 획득하는 문제였습니다. 힌트를 잘못 해석해서 계속 사진 가지고 분석하느라 꽤 오래 걸렸던 문제입니다....😅
3번째 문제
3번째 문제를 풀어보도록 하겠습니다!!
사진 속의 빨간색에서 플래그 값을 찾는 문제인 것 같습니다. 이번에는 HxD를 사용하지 않고 사진의 색 보정이나 반전 등을 통해 해결하는 문제인 것 같습니다. 일단 사진을 볼까요?
그저 강아지가 누워 있을 뿐인 평범한 사진입니다. 문제에서 말한 대로, 빨간색 부분에 어떠한 단서가 있을 수도 있으니 빨간색 꽃잎을 유심히 살펴보았습니다. 링크텍스트
위 사이트에서 아무리 사진을 확장해 보고 색상을 반전시켜봐도 뭐가 안나오길래 HxD를 켜서 분석해 보았습니다.
HxD를 이용해 보는 문제는 아닌것 같습니다....w(゚Д゚)w
아무래도 빨간색을 이용해 문제를 풀어보는 것 같은데, 빨간색 꽃잎을 아무리 조사해 봐도 뭐가 안뜨고, 그렇다고 HxD를 이용해 봐도 딱히 단서랄게 보이지 않습니다.
조금 더 고민하다가, 아예 사진 전체를 빨간색으로 반전시켜 보았습니다. 링크텍스트
위 사이트를 이용하여, 사진을 빨간색으로 반전시키면
ㅜㅜ이것도 아니네요....( ̄┰ ̄*)
하지만 여기서 끝낼수는 없기에 이것저것 눌러보았습니다. 
그러나 이 버튼을 누르니까....
??(⊙_⊙)?
플래그 값을 획득하였습니다...
Browse Bit Planes 버튼을 눌러 Red0일 때의 컬러 비트 변환값을 출력하였더니 플래그 값이 떴습니다. 아무래도 힌트에서의 빨간색은 사진 속 빨간색이나 빨간색 화면이 아닌, 이 Red 였나 봅니다..😅
어떻게 풀었는지 이해가 안돼서 조사해보니 LSB 스테가노그래피 기법을 이용한 문제로, 중요도가 떨어지는 이미지에 정보를 삽입하는 기법을 이용한 것임을 알 수 있었습니다.
이 문제는 이미지를 색상과 비트별로 분석해서 해결하는 문제였습니다. 어떤 문제 유형인지 인지하지 못하고 풀어보니 많이 헤맸네요T_T
evision 포렌식 과제 1-1
일단, 문제 파일을 열어봅시당
파일 형식을 지원하지 않는다고 뜹니다..
bmp는 비트 파일 형식으로, 파일이 손상되어 문제가 발생하지 않았나 싶습니다. HxD로 들어가 봅시당.
bmp의 경우, 파일의 시그니처가 42 4D로 되어야 하는데, HxD로 들어가 보니 파일의 시그니처가 다른 것을 알 수 있습니다. 여기서 파일의 시그니처를 42 4D로 바꾸어 봅시다😃
파일을 다시 켜 봅시당
파일을 복원하는데 성공했습니다🤩🤩
evision 포렌식 과제 1-2
data 파일과 hint 텍스트 파일이 들어 있습니다.
??무슨 뜻인지 모르겠으니 일단 HxD 에 들어가봅시다
파일의 시그니처가 38 42 50 53 입니다. 시그니처가 38 42 50 53인 파일 형식을 찾아보니
파일의 확장자가 .psd라는 사실을 알 수 있습니다. 숨겨진 특정 파일 형식을 찾는 문제였던 것 같습니다. 확장자를 .psd로 바꾸어 보면
아무래도 컴퓨터에 psd파일을 열 수 있는 프로그램이 없어서 안 열리는 것 같습니다...😂
사이트를 이용해 psd 파일을 열어봅시당 링크텍스트
귀여운 강아지 사진이 보입니다...위의 힌트에서 레이어라고 했기에 아마도 여러 개의 레이어가 겹쳐진 사진이고, 또 다른 레이어에 플래그 값이 있을 것이라고 짐작할 수 있겠습니다. 마침 위의 사진에서 레이어 칸을 보니 하나의 레이어가 더 있고, 여기에 무언가 적힌 것을 발견할 수 있네요😎😎
감추어진 레이어를 보일 수 있게 해놓으니, 이렇게 플래그 값이 떴습니다o(°▽°)o
숨겨진 파일의 형식을 확인하고, 파일의 확장자를 변경한 후 사진 파일로 열어 그 속에 숨겨진 레이어를 확인하여 해결하는 문제였습니다.
evision 포렌식 과제 1-3
사진이 2개 올라와 있습니다. 일단 힌트에 들어가봅시당
사진파일을 HxD를 이용해 분석해서 플래그를 찾아내는 문제인 것 같습니다.
두 개의 사진 파일을 HxD에서 열어봅시당
흠...? 사막에서 바늘 찾기라고 하니 이 많은 텍스트 값 안에서 플래그 값을 찾는 문제인 것 같습니다..
일단 두 파일은 jpg 파일 시그니처를 가지고 있습니다(FF D8 FF E0)
사진파일이 2개인 것으로 보아, HxD에서 두 사진 파일의 Hex값을 비교해서 힌트를 얻을 수 있다고 생각하고 두 사진 파일의 Hex값을 비교해 보았습니다.
HxD의 분석 창에 들어가 보면, 비교라는 칸이 있는데요, 이 비교를 통해 2개의 파일 Hex값을 비교할 수 있습니다.
꼬모1과 꼬모3 사진의 Hex값이 차이가 나는 곳의 꼬모1의 Decoded text값을 보면, 플래그 값을 얻을 수 있습니다. 플래그 값을 얻을려면 두 사진의 차이나는 Hex값을 모두 찾아 Decoded text값을 나열해야 합니다.
플래그 값은
EVI$ION{FLAGCATCHER}HxD의 비교 기능을 이용하여 두 사진 파일의 Hex 값을 비교하고, 그 중 차이 나는 Hex값의 Decoded text에서 플래그 값을 얻어내는 문제였습니다.
