[H4CKING GAME] Season1 : art (Forensics)

 

파일 다운로드 해보면 이번엔 파일이 .mp4다

다운받아서 열면 이렇게 파일이 손상되었다고 나옴.

손상된 걸 복구시키면 플래그 획득이 가능? 

 

우선은 HxD로 파일을 열었다. 

손상되어서인지 파일을 까 보면 뭐가 없다.

용량이 커서 스크롤이 작은 걸 보면 뭔가 숨어있을 것 같긴 한데...

 

이렇게 데이터가 있는 부분이 존재

그런데 읽을 수 있는 내용은 없다. 여기 말고도 다른 부분에도 데이터 영역 있음.

flag 관련 내용이 있을까 싶어 flag로 검색을 해봤음

이런 내용이 나왔다

근데 여기 직접적인 플래그 내용이 나와 있진 않음

 

volatility 이용해서 풀이해야 하는 문제. 

근데 볼라틸리티 사용법 까먹었다ㅎㅎ. 구글링으로 다시 공부함

 

볼라틸리티 있는 폴더에 내가 분석할 data.mp4 파일 넣고 cmd 창 열어서 아래 명령어로 profile 수집함.

.\volatility_2.6_win64_standalone.exe -f data.mp4 imageinfo

Profile 알아야 분석이 가능하다.

Suggested Profile: Win7SP1x64

 

그리고 cmd에서 입력한 기록을 확인하려 함. 그 기록을 통해 덤프를 떴는지 확인 가능!

.\volatility_2.6_win64_standalone.exe -f data.mp4 --profile=Win7SP1x64 cmdscan

DumpIt.ext 명령어를 사용한 것이 나옴. 확실히 덤프를 떴음.

 

덤프 파일에 있는 모든 파일 확인할 것. 검색 쉽게 하기 위해 txt 파일로 결과를 추출.

.\volatility_2.6_win64_standalone.exe -f data.mp4 --profile=Win7SP1x64 filescan >> scan.txt

이런 txt 파일이 만들어진다. 

열어서 flag 검색. 

.bmp 확장자를 사용하는 flag 파일이 있는 것을 확인. 

 

해당 파일을 추출한다

.\volatility_2.6_win64_standalone.exe -f data.mp4 --profile=Win7SP1x64 dumpfiles -Q 0x000000007db82b30 -D ./

위 명령어를 입력하면,

이렇게 .dat 확장자의 데이터가 추출됨.

이 파일의 확장자를 .bmp로 변경한다. 

열면 위처럼 손글씨로 쓴 플래그가 추출된다! 문제 풀이 성공