security21 님의 블로그

지원되지 않는 파일이라고 나온다HxD에 가서 파일을 열어보자시그니처 확인http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com WAV의 파일 시그니처와 동일한 것을 확인할 수 있다  파일의 확장명 .wav로 변경해주기실행된다 but!!!!! 1초 정도 엄청 빠르게 이상한 소리로 출력된다 Audacity를 이용해 이 소리를 해석해보자파일을 넣어준 후혹시 모르니 스펙트럼으로 변경해주었지만 아무것도 나오지 않음 빠른 속도를 낮춰보자오디오를 ctrl+A 해준후 [효과]-[변경:속도] 에서 속도를 0.250으로 변경해준다 그래도 알아듣지 못하겟다알아듣지 못하니 뒤집어진 음..

폴더를 열어보면 알아볼수 없는 사진과 메모가 나온다 https://www.bertnase.de/npiet/npiet-execute.php BertNase's Own - npiet fun! www.bertnase.denpiet라는 프로그래밍 언어이고위 사이트를 통해 base64를 만들어 주자  > png 파일의 base64 언어RCdgJHFwIkp9fXtGeXk2L2V0MmJOTkwnLGwqaignZ2dle0FjP2A8eykoeHdZb3Rzcmsxb1FQbGtkKilKSWVkY2JbIUJYV1ZbWlN3V1ZVN1NSS29JSGxGLkpDQkdAZERDQiQjPzhcNnw6MzJWNjU0MzIxKnAoTG0lSSMiJ34lJHtBYn59dnV0OnhxWXV0bTNUcGluZ2xrZCpoZ2BIXiRiRFp..

일반 재생 프로그램으론 보이지 않음 Forevid로 확인해보면 xor처리를 해놓아 꾸물꾸물 거리는 걸 확인할 수 있다 VMware SIFT cat.mp4 을 윈도우에서 SIFT 바탕화면으로 옮기고 # mkdir data# cd data/# mv ../cat.mp4 ./cat.mp4를 data 폴더 안에 넣어준다SIFT 명령어# apt-get -y upgrade# sudo add-apt-repository ppa:mc3man/trusty-media  # apt-get -y update # apt-get -y install ffmpeg# apt-get -y install imagemagick > 프레임별로 사진 추출해서 모든 파일을 xor 반전 시키기   모든 프레임 추출(forevid와 동일)   명령어 ..

사진을 확인하고 싶지만 보이지 않는다 VMware SIFT3-Distro Version 사용해서 확인  터미널 창에# apt-get -y update# apt-get -y upgrade # sudo add-apt-repository ppa:mc3man/trusty-media   # apt-get -y install ffmpeg # apt-get -y install frei0r-plugins # apt-get -y install imagemagick # convert  -compose difference -composite -colorspace Gray mystery1.png mystery2.png mystery3.png-> 1번과 2번파일의 그레이 색의 부분을 합쳐서 mystery3.png 파일로 만듦글..

SmartDeblur를 통해 분석 Radius : 20.8Smooth : 3%

* Magnifier  돋보기를 뜻함https://29a.ch/photo-forensics/#forensic-magnifier Forensically, free online photo forensics toolsForensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more.29a.ch위 링크는 특정 사진을 업로드하면 해당 사진을 확대해서 볼 수 있다상당히 확대배수가 높아서 이미지 안에 숨겨져 있는 암호를 관찰할 수도 있다 Forensically 이미지 포렌식을 위한 도구세트로 클론 탐지, 에러 수준 분석, 메..

문제 : 사진 안에 있는 글자를 찾기https://www.java.com/ko/download/ie_manual.jsp?locale=ko Windows용 Java 다운로드 www.java.comStegSolve를 열기 위해 자바를 다운로드 해준다* StegSolve   LSB를 이용하여 그림을 숨겨두거나 텍스트를 숨겨 놓았을 때 유용하게 사용할 수 있는 툴  그림이 숨겨진 경우 아래 사진과 같이 각각의 색을 조정하여 숨겨진 텍스트를 나타나게 해준다  StegSolve로[StegSolve]-[file]-[open]-[problem.png]를 열어보면밑에 화살표 누르면 색상별 필터 기능 확인넘기다보면 답이 나온다 (Red plane 0) => flag 확인 정답 : Cream_pasta!

damaged_image.bmp 파일을 열어보자!! 하지만 damaged_image.bmp가 열리지 않는다왜냐? bmp 시그니처를 확인할 수 없기 때문에.즉, 우리에게 필요한건 시그니처를 복구하는 것이다 시그니처 복구를 위해 HxD에 넣어 16진수의 값을 얻어와보자근데 안나옴!!뭔가 구조가 보이는거 같으니 .bmp의 시그니처를 찾아보자  찾아보니 앞부분은 없고 뒷 부분만 남아있는거 같다즉, 28 앞부분만 복구 해줘서 넣으면 된다42 4D 68 00 00 00 00 00 00 00 36 00 00 00 넣기 앞부분에 추가해주고 저장 파일 복구가 성공적으로 되었다!!

\'00\'89\'50\'4e\   00 89 50 4e파일 앞 4개 hex 값 복사http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com사이트에서 파일 시그니처 검색 결과파일의 시그니처는 png라는 것을 확인할 수 있다 시그니처를 앞에 두어야하기 때문에메모장에 옮겨 89 앞 다 지우자또한 글자만 남겨두어야역슬래쉬 다 지우기 ' 도 다 지우기hxd에 그대로 복붙하면 이렇게 된다이 상태에서 test.png로 저장해서 열면파일이 잘 열리고 심슨이 나오는 것을 확인할 수 있다 정답 : 심슨

일반적인 docx파일로 보이지만 2진 복합파일!!!!! 이다 반디집에 들어가 압축풀어 파일들을 살펴보자findkey/word : 클라이언트가 사용하는 실질적인 데이터를 저장하는 공간경로 : [findkey]-[word]-[media] -> image2번 복합파일 데이터 구조를 이용해 추가적으로 은닉해놓은 기법 하얀티 아저씨를 확대해보면 답이 나온다 답 : gant 1949