문제명 : Find Key(Black)
분류 : Multimedia Forensic
[*] 문제풀이 환경
-운영체제 : Windows 10x64
-사용도구 : FTK Imager, ssdeep, Autopsy, Hex Editor , TrueCrypt 7.1a
문제풀이
1) 문제 파일을 FTK Imager를 통해 파일을 열어보자.
FTK Imager로 문제파일을 확인해보면 volume/root/Black/B(115).jpg 를 확인할 수 있다.
파일의 내용을 보면 Alternate Data Stream 타입의 black.txt 파일을 확인할 수 있다. ADS(Alternate Data Stream) 는 NTFS의 기능으로 파일을 다른 파일에 숨길 수 있다. 결론적으로 B(115).jpg 파일에 black.txt 파일을 숨겨 은닉하려한 의도를 알 수 있다.
2) Autopsy를 이용해서 black.txt를 추출해보자.
3) Autopsy로 추출한 black.txt 파일을 열어보면
뭔소린지 1도 모르겠다... 이럴땐 Hex Editor로 열어보자
마찬가지로 식별할 수 있는게 없다. 그냥 다른 파일들도 확인해보도록 하자. 우선 의심스러운 파일은 black 폴더와 Hole 폴더에 있는 jpg 파일들이다. 모두 검은색의 파일들인데 파일크기도 비슷하다.
4)ssdeep 도구를 Black 에 있는 B(xx).jpg 의 해시값과 Hole 폴더 에 있는 jpg 파일들의 유사도를 확인하자
1. FTK Imager로 Black 폴더에 있는 jpg 파일들을 추출하여 ssdeep 디렉터리에 넣고
2. ssdeep.exe *.jpg > Black_hash.txt 명령어를 사용
위와 같은 과정을 거치면 Black_Hash.txt 라는 B(xx).jpg 의 해시 값을 정리한 텍스트 파일을 얻을 수 있다.
5. 추출한 Balck_hash.txt의 내용과 Hole에 있는 jpg 파일들과 유사도를 확인해보자.
1. Hole에 있는 .jpg 파일을 추출하여 ssdeep 폴더안에 넣음
2. ssdeep.exe -m black_hash.txt *.jpg 명령어를 사용
유사도 측정 시 위와 같은 B(55).jpg (99).jpg 같은 구조로 출력이 된다. 즉 0LFzodH7Z24H0379.jpg 파일과 B(55).jpg 파일과 유사도 99로 유사함을 알 수 있다.
지금까지의 과정으로 Black 폴더와 Hole 폴더의 jpg 파일들의 연광성을 파악했다. 분석중 Black 폴더와 Hole 폴더 각각의 jpg 파일들의 특성을 알 수 있었는데 Black 폴더의 B(xx).jpg 헤더 부분에는 순서를 의미하는 숫자가 있었고
*D:\Forensics\Tool\Tool\ssdeep-2.14.1-win32-binary\ssdeep-2.14.1\O0TAA62FPsI71506.jpg matches Black_hash.txt:D:\Forensics\Tool\Tool\ssdeep-2.14.1-win32-binary\ssdeep-2.14.1\B (137).jpg (99)
Hole 폴더 .jpg 파일들의 Footer에는 1byte의 문자열이 추가되어 있음을 확인 가능하다. B(xx).jpg 헤더부분의 숫자의 순서대로 유사도가 Hole 폴더 .jpg 파일 Footer 뒤 1byte 문자를 정렬하면 어떤 문자열 조합을 확인가능하다.
지금 했던 방식대로 한 글자씩 분석하여 순서대로 정리하면 특정 문자열을 도출할 수 있다.
"7ru3CyP7_P422w0Rd_57r1n9_K1" 라는 문자열을 얻을 수 있는데 있는 True Crypt의 비밀번호라고 한다.
6.TryCrypt 패스워드 인것을 알았으니 처음 ADS에 숨겨져있던 black.txt 파일의 확장자를 TrueCrypt의 확장자인 .tc로 바꾸어주고 , 사진 파일 속에 숨겨져 있던 패스워드를 통해 black.tc 파일을 복호화 해보자.
6. 위와 같은 과정을 거치면 가상 드라이브를 열 수 있게 되는데 그 안에는 key.txt 파일이 있다!!
***새롭게 안 사실***
ADS는 NTFS의 기능으로 파일을 다른 파일에 숨길 수 있다!!!
'Forensic > CTF' 카테고리의 다른 글
Forensic CTF(2) - Find Key(docx) (0) | 2021.11.14 |
---|---|
Forensic CTF(1) - Find Password (0) | 2021.11.09 |