조금 난이도가 있었던 포렌식 문제이다.
막 엄청 어렵진 않았는데 시간이 좀 걸렸다.
문제에서 주어진 것은
starstream.vhd 파일이다.
Autopsy 라는 포렌식 분석 도구를 이용해 분석을 진행했다.
Add Data Source 버튼을 눌러 vhd 파일을 넣어주면
이렇게 안에 들어있는 파일들이 보인다.
stream1~4 까지의 jpg 파일이 보이는데
그것과 더불에 각 jpg 파일마다 : 뒤에 뭐가 적혀있는 파일들도 보인다.
이건 ADS 영역에 숨겨진 데이터들이다.
ADS 영역에 데이터를 숨겨주는 것이라고 한다.
ADS는 Alternate Data Stream 의 약자로
NTFS 파일시스템에서 MAC OS와 파일시스템 호환성 유지를 위해 사용되는데
여기에 데이터를 은닉할 수 있다.
이렇게 파일을 클릭하면
그 안에 어떤 내용이 적혀있는지 볼 수 있다.
sarah_kerrigan 을 눌렀더니
자신의 이름을 비밀번호로 쓰는것을 그만둬야겠다고 한다.
뭔가의 비밀번호가 sarah_kerrigan 인가 보다.
그런데 Autopsy 에서 아무리 찾아봐도 어디에 비밀번호를 써야하는지 알 수 없었다.
HxD 를 이용해 starstream.vhd 파일을 열어봤는데
stream5.pdf 파일이 있는것을 발견했다.
바로 리눅스에서 binwalk -e 명령을 이용해
숨겨진 파일을 추출해봤다.
stream5.pdf 가 추출되고
열어볼려 했더니 비밀번호가 걸려있었다.
아까 봤던 sarah_kerrigan 을 비밀번호에 입력하니
파일이 열리면서 플래그를 확인할 수 있었다.
'CTF > 포렌식' 카테고리의 다른 글
| [Space Heroes CTF] tarry Night - 포렌식 / HxD (49) | 2023.05.12 |
|---|---|
| [Space Heroes CTF] i oftensee star wars - 포렌식 / OTF / HxD (60) | 2023.05.08 |
| [Space Heroes CTF] Time Leap - 포렌식 / FTK Imager (66) | 2023.05.06 |
| [Space Heroes CTF] Felicette - 포렌식 / Wireshark / Tshark (46) | 2023.05.04 |
| [Space Heroes CTF] A New Hope - 포렌식 / PPT / HxD (52) | 2023.04.29 |