/* 윈도우 10 환경에서 HxD 도구를 사용했습니다.*/
아래 링크에서 HxD를 다운받으시면 됩니다.
mh-nexus.de/en/downloads.php?product=HxD20
Downloads | mh-nexus
Downloads Note: Starting with HxD 2.3, the portable edition is available as separate setup program, and can be run with minimal privileges (no admin rights required). For the portable edition, the setup program writes only into the selected folder (e.g., U
mh-nexus.de
N0Named Wargame Forensic 파트의 첫번째 문제, magicIMAGE를 풀어보자!!!
우선 mandu.png 파일을 다운받는다.
다운받은 파일을 더블클릭 하면...열리지 않는다. ㅎ
엄..엄...멘붕...엄...이게멀까?? 여기에 플래그가 있는 것 같은데...어떻게 열어야 하지?
처음에는 무슨 도구를 쓸지 몰라서, 칼리 리눅스에서도 동일하게 열어봤는데 이런 오류가 떴다.
PNG 파일을 여는 데 실패했는데, ascii conversion 때문이라네요...
아스키 변환을 하는 도중에 오류가 생겼다는 의미인 것 같다.
교육자님의 힌트인 HxD를 사용해보라는 게 기억이 났따!!!
그래서 HxD에서 파일을 열어보니까 이런 숫자가 주욱 떴는데
이걸 보자마자 내 머릿속에 문득 떠오른 ...
(이라고 했지만,,,png ascii conversion을 열심히 구글링 하다가 눈에 들어온...(중의적 의미임ㅋ))
파일 시그니처!!!
파일 시그니처란?
파일마다 가지고 있는 고유한 파일 형식!
매직 넘버(magic number)라고도 불린다.
우리가 컴퓨터에서 사진파일을 열어볼 수 있는 이유는,
소프트웨어가 사진파일의 고유한 파일형식을 해석할 수 있기 때문이다!!!
신기하쥐~
여기서 우리가 알아야 할 것은, 헤더(header)와 푸터(footer)!
▶ 헤더(header)
: head=머리, 즉 파일의 처음에 존재하는 시그니처
▶푸터(footer)
: foot=발, 즉 파일의 마지막에 존재하는 시그니처
> 푸터(footer)는 PNG와 JPG 파일만 갖고 있음
우리가 문제를 풀기 위해 알아야 할 것은, PNG의 파일 시그니처.
mandu.png 파일을 고쳐서 열어야하니까!
PNG 파일의 헤더 시그니처는 89 50 4E 47 0D 0A 1A 0A
PNG 파일의 푸터 시그니처는 49 45 4E 44 AE 42 60 82
오른쪽의 Decoded text 부분을 보면, PNG 파일이라고 나와있다. PNG파일이 맞다.
이제 헤더 시그니처와 푸터 시그니처를 살펴보자.
먼저 헤더 시그니처! 89 50 4E 47 0D 0A 1A 0A와 비교하면, 다르다.
헤더 시그니처를 PNG의 헤더 시그니처로 알맞게 고쳐주면 된다.
잘못된 부분을 클릭해서 그냥 숫자를 써주면 수정이 된다.
푸터 시그니처를 비교해보자. 푸터 시그니처는 PNG의 푸터 시그니처가 맞다.
그러면 파일을 저장하고, 파일이 저장된 위치로 돌아가서 확인해보자.
귀여운 만두 그림과 함께 플래그가 나와 있을 것이다!
드디어 포렌식다운 문제를 풀어본 기분이 든다! (으쓱)
포렌식 재밌네...호오오!!!! 3번 문제는 어렵다던데...도전~
(도전 후기 : 처음부터 막힘)