문제 파일 : diary.exe
사용한 Tool : WinHex.exe, HexCmp.exe, GMER.exe
문제 : '난중일기에 숨겨진 메시지를 찾자'
처음에 문제를 제대로 읽지 않고 diary.exe 파일 부터 분석을 시작하고 해서 그런지 많이 귀찮은 문제였다.
파일을 다읽어보면 그렇게 나올 내용이 없어서 WInHex로 열어봐도 나오는 건 없었다.
혹시나 다른게 숨겨져있나 싶어서 파일 내용만 복사한것을 따로 만들어서 원본파일이랑
HexCmp를 사용해 비교해 보기도 했는데 나오는건 없었다.
검색중 NTFS File System의 숨겨진 영역인 ADS(Alternate Data Stream)에 data를 숨길수 있다는걸 알게되서 접근을 하게되었다.
ADS(Alternate Data Stream) 해석을 하게되면 또 다른 데이터 스트림(추가적으로 생성되는 데이터 스트림)인데 FAT 형식에서는 제공이 되지 않았지만 NTFS에서 부터 ADS가 실행될수있도록 제공하게 됐다. 이유는 맥킨토시 파일시스템(Macintosh Hierarchical File Sytem)과 호환을 위해 제공을 했다. 그리고 ADS 크기는 파일 크기에 포함되지 않는다.
CMD를 실행시켜 난중일기 txt파일이 있는곳에서 dir /r 친다.
(그냥 탐색기로는 ADS가 보이지 않는다.)
난중일기 텍스트 하나마다 ADS에 값이 들어가져있다. 그리고 ADS는 파일크기에 포함되지 않는 사실도 확인 가능하다.
이 영역을 빼서 압축을 해제 하면 flag값이 있을꺼같다.
GMER를 사용해서 파일을 하나하나 뺐다.
압축을 해제하면 한개의 이미지 파일이 보인다.
Answer : 나의 죽음을 적에게 알리지 마라
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] Stego Problem 01 (0) | 2017.08.25 |
|---|---|
| [Crescendo] NTFS Log 1 (0) | 2017.08.23 |
| [Crescendo] Registry Problem 01 (1) | 2017.08.18 |
| [Crescendo] WER Problem 03 (0) | 2017.07.13 |
| [Crescendo] WER Problem 02 (0) | 2017.07.13 |
