Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Current »

  • 문제:  FindKey(Black)

  • 풀이환경: Windows 10

  • 풀이도구:   HxD, FTK imager


-첨부파일을 FTK Imager를 통하여 열면 volume[NTFS] 정보를 확인.

  이어서 트리를 따라 내부구조를 확인하다 보면 문제명인 Black과 관련된 키워드로 root/Black/B (115).jpg를 확인 할 수 있다.

  여기서 black.txt의 파일 타입이 Alternate Data Stream(ADS)로 B(115).jpg 파일에 black.txt 파일의 내용을 숨겨놓았음을 짐작할 수 있다.

- black.txt 파일을 추출하여 HxD로 확인해보아도 무슨 파일인지 식별이 되지 않는다.  FTK트리를 조금 더 살펴보면 Black과 Hole 각각의 폴더에 유사한 검은색 바탕의 jpg 파일이 들어있다.

- ssdeep툴을 사용하여 각 폴더에 jpg 파일 유사도를 비교해보면 전체는 아니지만 몇몇의 파일들이 99퍼센트의 유사함을 뛰는 것을 확인 할 수 있다.

- 각각의 매칭되는 파일들은 헤더부분과 푸터부분이 조금씩 다른것을 볼수가 있는데 Black 폴더의 jpg는 배열순서를 Hole폴더의 jpg는 문자를 나타내는 것으로 보인다.

  유사한 파일 28개의 파일을 순서와 문자를 배열하여 정리하면 7ru3CyP7_P422w0Rd_57r1n9_K1 문자열을 확인 할 수있다. 해당 문자열로 보와 TrueCrypt 비밀번호임을 추측할 수 있다.

- TryeCrypt툴을 사용하여 black.txt(black.tc 형식으로 변환필요) 파일에 암호키를 대입하여 black.txt를 복호화 하면 플래그 값을 획득할 수 있다.

플래그 : EyE Am ph33|1n6 |u(ky



  • No labels