데이터를 파일에 숨기는 암호화 기법이 있다.
보통 파일의 푸터 시그니쳐 전에 사용하지 않는 영역에 이 데이터를 삽입하여 은닉할 수 있는데, 이는 Hex editor 프로그램에서의 분석을 통해 추출하거나 carving tool을 사용하여 추출할 수 있다.
보통 이미지 파일에서 은닉된 데이터의 존재를 가장 쉽게 파악하는 방법은 파일의 속성을 살피는 것이다.
아무리 타 포맷에 비해 용량이 큰 png파일이라지만 400 × 440 size 32 bits의 파일의 용량치곤 6.93MB는 평균적인 용량이 아님을 알아채고, 이 파일 안에 은닉된 데이터가 존재함을 예상할 수 있다.
이번 data carving에는 리눅스에서 사용할 수 있는 carving tool 중 하나인 foremost를 사용하였다.
사용법은
foremost -t all -i [파일위치/파일명]
이와 같이 입력할 경우 해당 파일을 carving 하여 추출된 모든 데이터를 output폴더에 저장시킨다.
그럼 이렇게 숨겨진 flag가 적힌 데이터가 추출된다.
'정보보호119 동아리' 카테고리의 다른 글
| WARGAME - where_is_main (0) | 2021.06.23 |
|---|---|
| CTF 끝 (0) | 2021.05.31 |
| 하라는 시험공부는 안하고,, (0) | 2021.05.30 |
| IS119 CTF 시작! (0) | 2021.05.22 |