아래는 PurpleThing.png 파일이다.
먼저 속성을 확인해 보면 2.24MB인 PNG 파일임을 알 수 있다.
HxD로 파일을 확인해 보았다.
파일 앞부분에는 PNG 파일 헤더 시그니처인 89 50 4E 47 0D 0A가 존재하는 것을 확인할 수 있고
파일 뒷부분에는 footer 시그니처인 49 45 4E 44 AE 42 60 82가 끝까지 있지는 않고
49 45 4E 44 까지 있는 것을 확인할 수 있다.
HxD에서도 이상한 점을 발견할 수 없어서 생각해 보다가
아까 파일 속성 확인할 때 파일 크기가 2.24MB였던게 조금 큰거 같아서
해당 파일을 파일카빙 툴로 복구해 보았다.
| File Carving: matadata 보다는 파일 자체의 바이너리 데이터를 이용해 비활당 영역에서 파일을 복구하는 방식 |
복구를 하니 아래와 같은 jpg 파일이 생성되었다.
KEY: ABCTF{PNG_S0_COO1}
'CTF Write-Ups > [DigitalForensic] with CTF' 카테고리의 다른 글
| [CTF-d] Multimedia_브리타니아의 원더랜드... (0) | 2020.07.13 |
|---|---|
| [CTF-d] Multimedia_Find Key(moon) (0) | 2020.07.13 |
| [CTF-d] Multimedia_거래 조건 알고 있잖아요? (0) | 2020.07.13 |
| [CTF-d] Multimedia_계속 주시해라! (0) | 2020.07.13 |
| [CTF-d] Multimedia_내 친구는 이것이 특별한... (0) | 2020.07.13 |
