DreamHack [reversing • forensics] Enc-JPG

리버싱과 포렌식이 융합된 문제입니다.

 

포렌식 문제는 거의 손도 못대서 연습할겸 시도해보았습니다.

레벨 3인데.... 과연 성공할 수 있을지,,,^^;;;

 

 

 

 

문제 파일은 Enc와 flag.jpg

 

 

각각을 hxd 프로그램으로 읽어보았다.

왼쪽이 Enc / 오른쪽이 flag.jpg

 

 

Enc의 헤더 시그니처 4D 5A 90 (MZ)를 찾아보니 실행파일(.exe)의 시그니처임을 확인했다.

 

 

현재 Enc는 확장자가 없으니 .exe로 변환해보자.

 

Enc.exe를 실행하였더니

flag.jpg의 파일이 바뀌었다.

흠.... 이미지의 일부가 가려져있다.

 

 

 

이 파일을 다시 hxd로 읽어보자.

 

jpg의 헤더 시그니처는 FF D8 FF E0 xx xx 4A 46 49 46 (JFIF)

헤더 시그니처에는 이상이 없다.

 

 

 

푸터 시그니처를 확인해보자.

 

jpg의 푸터 시그니처는 FF D9 인데,

여기서 보이는 49 45 4E 44 AE 42 60 82 이 시그니처는 png의 헤더 시그니처이다.

 

 

 

ctrl+F를 통해 jpg 푸터 시그니처를 찾아보니 2개가 발견되었다.

 

첫번째 푸터 시그니처인 FF D9를 00 00 으로 바꿔주고 파일을 열었더니 플래그 앞부분이 보인다.

 

 

 

 

png의 푸터 시그니처를 발견했으니 png의 헤더 시그니처가 있는지 확인해보자.

png의 헤더 시그니처는  89 50 4E 47 0D 0A 1A 0A

 

 

png 헤더 시그니처 발견과 함께 _ENc_ECrypt 라는 flag의 일부를 발견했다.

 

문제에서 flag의 글자수는 4개라고 했다. "_"를 기준으로 4개의 단어가 있다는 뜻이겠지?

 

 

 

png.png로 따로 떼어내서 저장해서 사진을 확인해보자.

아무 글자도 쓰여있지 않은 빈 화면이다.

png 파일에서도 flag의 일부분으로 추측되는 글자를 발견했다.

 

 

 

 

지금까지 발견한 flag를 이어붙이면 최종 flag 획득!

 

비록 포렌식 문제들은 0point지만.. 그래도 재미있고 또 하나 배웠으니 만족합니다 ㅎㅎ