본문 바로가기
Forensic/CTF

Forensic CTF(3) - Find Key(Black)

배욘두 2021. 11. 14. 16:53

문제명 : Find Key(Black)

분류 : Multimedia Forensic 

 

[*] 문제풀이 환경 

-운영체제 : Windows 10x64

-사용도구 : FTK Imager, ssdeep, Autopsy, Hex Editor , TrueCrypt 7.1a

 

문제풀이

 

1) 문제 파일을 FTK Imager를 통해 파일을 열어보자.

FTK Imager로 확인한 문제파일 

 FTK Imager로 문제파일을 확인해보면 volume/root/Black/B(115).jpg 를 확인할 수 있다.

파일의 내용을 보면 Alternate Data Stream 타입의 black.txt 파일을 확인할 수 있다. ADS(Alternate Data Stream) 는 NTFS의 기능으로 파일을 다른 파일에 숨길 수 있다. 결론적으로 B(115).jpg 파일에 black.txt 파일을 숨겨 은닉하려한 의도를 알 수 있다. 

 

evidence.001의 파일 list 

 

2)  Autopsy를 이용해서 black.txt를 추출해보자. 

Autopsy로 열어본 문제파일

3) Autopsy로 추출한 black.txt 파일을 열어보면 

black.txt

뭔소린지 1도 모르겠다... 이럴땐 Hex Editor로 열어보자 

black.txt

마찬가지로 식별할 수 있는게 없다. 그냥 다른 파일들도 확인해보도록 하자.  우선 의심스러운 파일은 black 폴더와 Hole 폴더에 있는 jpg 파일들이다. 모두 검은색의 파일들인데 파일크기도 비슷하다.

 

4)ssdeep 도구를 Black 에 있는 B(xx).jpg 의 해시값과 Hole 폴더 에 있는 jpg 파일들의 유사도를 확인하자

 1. FTK Imager로 Black 폴더에 있는 jpg 파일들을 추출하여 ssdeep 디렉터리에 넣고 

 2. ssdeep.exe *.jpg > Black_hash.txt 명령어를 사용

위와 같은 과정을 거치면 Black_Hash.txt 라는 B(xx).jpg 의 해시 값을 정리한 텍스트 파일을 얻을 수 있다. 

ssdeep을 이용하여 추출한 Black_hash.txt

5. 추출한 Balck_hash.txt의 내용과 Hole에 있는 jpg 파일들과 유사도를 확인해보자.

 1. Hole에 있는 .jpg 파일을 추출하여 ssdeep 폴더안에 넣음

 2. ssdeep.exe -m black_hash.txt *.jpg 명령어를 사용

ssdeep 을 이용한 유사도 측정

유사도 측정 시 위와 같은  B(55).jpg  (99).jpg  같은 구조로 출력이 된다. 즉 0LFzodH7Z24H0379.jpg 파일과 B(55).jpg 파일과 유사도 99로 유사함을 알 수 있다.

 

지금까지의 과정으로 Black 폴더와 Hole 폴더의 jpg 파일들의 연광성을 파악했다. 분석중 Black 폴더와 Hole 폴더 각각의 jpg 파일들의 특성을 알 수 있었는데 Black 폴더의 B(xx).jpg  헤더 부분에는 순서를 의미하는 숫자가 있었고 

 

*D:\Forensics\Tool\Tool\ssdeep-2.14.1-win32-binary\ssdeep-2.14.1\O0TAA62FPsI71506.jpg matches Black_hash.txt:D:\Forensics\Tool\Tool\ssdeep-2.14.1-win32-binary\ssdeep-2.14.1\B (137).jpg (99)

헤더부분에 순서를 의미하는 숫자가 존재함. 1

Hole 폴더 .jpg 파일들의 Footer에는 1byte의 문자열이 추가되어 있음을 확인 가능하다. B(xx).jpg 헤더부분의 숫자의 순서대로 유사도가 Hole 폴더 .jpg 파일 Footer 뒤 1byte 문자를 정렬하면 어떤 문자열 조합을 확인가능하다. 

footer 뒤 1byte 문자 7

지금 했던 방식대로 한 글자씩 분석하여 순서대로 정리하면 특정 문자열을 도출할 수 있다. 

"7ru3CyP7_P422w0Rd_57r1n9_K1" 라는 문자열을 얻을 수 있는데 있는 True Crypt의 비밀번호라고 한다.

 

6.TryCrypt 패스워드 인것을 알았으니 처음 ADS에 숨겨져있던 black.txt 파일의 확장자를 TrueCrypt의 확장자인 .tc로 바꾸어주고 , 사진 파일 속에 숨겨져 있던 패스워드를 통해 black.tc 파일을 복호화 해보자. 

 trueCrypt 툴을 이용하여 복호화

6. 위와 같은 과정을 거치면 가상 드라이브를 열 수 있게 되는데  그 안에는 key.txt 파일이 있다!!

key 파일

 

***새롭게 안 사실*** 

ADS는 NTFS의 기능으로 파일을 다른 파일에 숨길 수 있다!!!

'Forensic > CTF' 카테고리의 다른 글

Forensic CTF(2) - Find Key(docx)  (0) 2021.11.14
Forensic CTF(1) - Find Password  (0) 2021.11.09

'Forensic/CTF' Related Articles

티스토리툴바