다운로드를 받으면 notebook이라는 파일이 다운 받아 진다. hxd로 열어보면 헤더가 41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 인 파일이 나온다. 41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 이런 파일은 Access Data에서 지원하는 File Format 으로 Ftk Imager 를 통해 Dump를 수행했을때 ,, 확장자를 AD1으로 진행할 경우 만들어지는 파일이다. 그래서 파일 이름을 notebook.ad1 으로 다시 지정해주고 ftk 로 열었다. ftk 로 여는 방법은 Add Evidecce -> image File -> notebook.ad1 지정 -> Finish Desktop - 6095485345 파일을 보면 이..

포렌식을 공부하는 중이라서 hxd로 한번 열어봐야겠다는 생각밖에 없어서 hxd로 열어보았다 그러면 헤더와 푸터가 모두 jpg이고, 이사진 파일은 jpg 파일인걸 알 수 있다. png 파일을 찾아보았지만, 아무 사진도 없었다. 그래서 사진 속성에 들어가봤더니 태그 영역에 tagtagtagDETAIL; 이 있었다. AUTH KEY 는 ; 을 뺀 tagtagtagDETAIL 이다.

xcz.kr 사이트에서 비밀번호를 잃어버렸다고 한다. 다운로드를 받으면 와이어 샤크에다가 옮긴후 xcz.kr라는 싸이트에서 비밀번호를 잃어버렸다고 하니깐 display filter에 http를 써준다. 패킷을 내리다 보면 874번째 패킷을 보면 IMZZANGHACKER 에 PW는 IDISLTE인것을 알수 가 있다 AUTH KEY : IDISLIE

힌트 1 : 외국어 힌트 2 : key 값은 대문자 nutantvictorantjackassowlantlambpighorseantbearelkturkey 이렇게 있다. 뭔가 사이사이 아는단어가 있어서 잘라서 읽어야 되지 않을까 라는 생각을 해본다. 그래서 이렇게 나눠서 한 단어씩 대문자로 넣어보았지만 틀렸다고 한다. 그래서 혹시나 하는 마음에 앞글자만 따서 대문자로 바꿔서 넣어보았더니 맞다고 한다. AUTH KEY : NAVAJOALPHABET

다운로드 파일은 network_recover이라는 파일이다. hxd로 열어 본 결과 헤더가 0A 0D 0D 0A인 파일이다. 이 파일은 pcapng 파일이다. Pcapng 파일이란 ? pcapng 파일 형식은 기존의 pcap을 발전시킨 파일 형식이다. 추적 파일의 패킷과 추적 파일 설명 같은 메타데이터, 지역 인터페이스 세부 정보, 그리고 지역 IP 주소를 저장하는 기능을 갖추고 있다. 이 파일이 pcapng 파일이란 것을 알았으니까 확장자를 pcap로 바꿔줘야 한다. 그리고 wireshark로 열어주자 wireshark 란? 자유 및 오픈 소스 패킷 분석 프로그램이다. 크로스 플랫폼으로, Qt 위젯 툴킷을 이용하여 사용자 인터페이스를 제공하며, pcap을 이용하여 패킷을 포획한다. 리눅스 , 맥 OS ..

다운로드를 하면 이런 mp3파일이 나온다. 이런 파일을 디코드 하라고 한다. 스테가노그래피에서 툴은 몇 가지 있지만 대표적인 툴은 OpenStego , OpenPuff 2가지가 있다. 그래서 툴을 OpenPuff을 사용하라는 것을 바로 알았다. 밑에는 OpenPuff를 다운로드하는 링크다 https://embeddedsw.net/OpenPuff_Steganography_Home.html OpenPuff - Steganography & Watermarking OpenPuff is a professional steganography tool: HW seeded random number generator (CSPRNG) Deniable steganography Carrier chains (up to 256Mb..