2017 암호경진대회 5번
Contents
jpeg 포렌식인데요. 암호화된 부분은 찾았지만 복호화 하지 못했네요 ㅜ 푸신 분 있으면 좀 알려주세용
풀이: 제공되는 파일을 살펴 본 결과 만든 날짜와 수정한 날짜의 값이 이상하여 조작된 것을 확인 할 수 있었다. 분석 결과 만든이, 프로그램이름, 카메라 제조업체, 카메라 모델등에서 수상한 값들을 찾아 볼 수 있었다. 특히 프로그램이름의 TruCrypt와 JPEG 포맷의 app13위치에서 TrueCrypt 문자열을 확인함으로써 TrueCrypt로 암호화된 부분이 있음을 유추할 수 있었다. JPEG포맷이 끝나는 부분에서 암호화된 데이터 1MB를 확인할 수 있었다. Truecrypt로 복호화 하기 위해 노력하였으나 실패하였다.
(푸신 분의 도움을 받아 대략적인 풀이추가 2018.01.29)
암호화된 데이터를 .tc 확장자로 바꾸면 TrueCrypt에 마운트할 수 있다. 그림의 이상한 메타데이터중에서 헥스값을 패스워드로 넣으면 풀 수 있다. 이미지 파일이 나오는데 뷰잉을 지원하는 포렌식 도구를 이용해 내부에 파일들을 확인할 수 있음고 한글파일들이 존재 하는데 몇개의 파일이 암호화가 걸려있다. 비할당 영역에 데이터가 존재하는 해당 영역을 분석(카빙)해보면 비밀번호가 적힌 jpg 파일을 얻을 수 있다.
Author Jaejin Jang
LastMod 2017-12-23
License Jaejin Jang