[CTFlearn] Milk's Best Friend - 포렌식 / HxD

 

CTFlearn 의 스물여덟번째 문제

 

이번엔 Medium 난이도의 포렌식 문제이다.

 

반응형

 

문제에서 주어진 주소로 접속해보면

 

 

이렇게 오레오 하나 가 있는 사진을 다운받을 수 있다.

 

 

HxD 프로그램을 이용애 oreo.jpg 파일을 열어보면

 

맨앞이 FF D8 FF E0 로 시작하는걸 볼 수 있다.

 

이렇게 파일 맨 앞에 써있는걸 파일 시그니처 라고 하는데

 

 

FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다.

 

 

JPG 파일의 또다른 특징은

 

끝날때 무조건 FF D9 로 끝난다는 것이다.

 

HxD 에서 ctrl + f 를 눌러 FF D9 를 검색해서 찾아가보면

 

FF D9에서 파일이 끝나지 않고, 뒤에 데이터가 더 있는것을 볼 수 있다.

 

사진파일 뒤에 데이터가 더 숨어있는 것이다.

 

맨 앞에 적혀있는게 Rar! 인것을 볼 수 있는데

 

 

이건 rar 파일의 시그니처 이다.

 

rar 파일은 압축 파일의 한 형태이다.

 

 

FF D9 뒤에있는 데이터를 복사 붙혀넣기 해서

 

새로 파일을 하나 만들면 이렇게 rar 파일을 추출할 수 있다.

 

 

압축을 풀어보면 a, b.jpg 두개의 파일이 있는것을 볼 수 있는데

 

 

a는 페이크였다..

 

 

b.jpg 파일을 HxD 프로그램으로 열어서

 

아까랑 똑같이 FF D9를 찾아보면,

 

파일 끝에 숨겨져있는 플래그를 찾을 수 있다.

 

사진을 보면 오레오가 두갠데,

 

문제 잘 풀었으니 오래오 하나 더 먹으라는 귀여운 내용이다.