[Suninatas] Forensic.21 write-up

Solution Key 가 주어졌긴 한데 자에 의해 일부분 가려졌다.

이미지를 다운받아서 속성을 먼저 살펴 보았다.

 

별 다른 건 없지만 파일 크기가 꽤 크다.

 

밝기 조절을 해야 하나(그럴 리가...) 어떻게 해야 하나 고민했는데,

풀이가 두 가지가 있었다.

 

풀이 1.

---

우선 HxD로 파일을 열어 보자.

맨 앞에 FF D8 FF는 jpg의 시그니처 코드이다.

 

monitor.jpg의 헥사 코드를 잘 보다 보면 위와 같이 jpg 시그니처 코드가 한 개만 있지 않다.

즉, 두 개 이상의 jpg 파일이 겹쳐져 있다.

시그니처 코드를 기준으로 코드를 분리하여 저장하면 다른 이미지를 확인할 수 있을 것이다.

 

(solution key는 풀이 2 마지막에서 확인)

풀이 2.

---

WinHex라는 프로그램을 써야 한다고 한다.

https://www.x-ways.net/winhex/index-m.html

WinHex: Hex Editor & Disk Editor, Computer Forensics & Data Recovery Software

 

해당 프로그램에는 파일을 쪼개는 기능(File Carving)이 있다고 한다.

 

'Tools' -> 'Disk Tools' -> 'File Recovery by Type'

위 순서대로 진행한다.

 

경로 설정 후, Pictures 를 체크하고 진행하면 된다.

그리고 Complete byte-level search로 설정해 줘야지만 제대로 카빙이 된다.

지정한 경로에 여러 이미지들이 저장된다.

파일 크키가 컸던 이유는 많은 jpg 파일이 겹쳐져 있었기 때문이었다.

 

얻어낸 이미지를 통해 키를 조합하면 문제가 해결된다.