IT EVERYTHING

저 파일을 다운받아보면 cw.zip 파일이 나오게 된다. 그리고 하나하나 사진들을 찾아보자

첫번째 사진은

구글에 SMALLTALK-80 이라고 쳐봤자 뭐 나오는게 없습니다.

그리고 나머지 사진들도 다 힌트가 주워지는게 없습니다. 그래서 AUTH 에다가 SMALLTALK을 넣어보자 정답이라고 나왔습니다.

영어긴 한데 알수 없는 영어 단어로 이루어져 있다. 이것을 보고 비즈네르 암호인걸 예측할 수 있다.

비즈네르 암호란?

다중 단일 문자 치환 암호법의 한 종류로 키워드를 이용한 암호법이다. 비즈네르 암호의 장점은 빈도수 분석법으로는 해독이 불가능하다는 점이며 열쇠의 개수가 무궁무진하다는 것이 장점이다. 그리고 비즈네르 암호는 오늘날 전문가들이 많이 사용하는 암호들의 기본형이다.

https://www.guballa.de/vigenere-solver

저 사이트에 들어간후 Cipher Text 에다가 저 문자들을 넣어준후 language 를 english 로 설정한후 Break Cipher 을 눌러주면 나온다.

AUTH KEY : GANGPSYNAM

Title : Listen Crefully!

Description : 

Hint1. Auth key = Upper Case

다운을 받고 나서 파일 이름을 보니 morse라는 이름을 가진 파일이다.

아마 모스부호인것 같았다.

모스 부호란?

모스 부호는 짧은 발신 전류와 긴 발신 전류을 적절히 조합하여 알파벳과 숫자를 표기한 것으로 기본적인 형태는 국제적으로 비슷하다. 미국의 발명가 새뮤얼 핀리 브리즈 모스가 고안하였으며, 1844년 최초로 미국의 볼티모어와 워싱턴 D.C. 사이 전신 연락에 사용되었다.

출처 : https://ko.wikipedia.org/wiki/%EB%AA%A8%EC%8A%A4_%EB%B6%80%ED%98%B8

소리가 어떻게 구성되어 있는지 보기 위해 Audacity 를 다운받아서 열어보았다.

모스 부호의 의미가 짧은 발신 전류와 긴 발신 전류가 조합되어 있으므로 모스 부호표를 보고 해석해야 되는 문제인것 같다.

출처 : https://namu.wiki/w/%EB%AA%A8%EC%8A%A4%20%EB%B6%80%ED%98%B8

이것을 보고 해석을 하면 AUTH KEY  IS MORSEC0DE 이렇게 나오는것을 알 수 있다.

FTK Imager는 디스크 이미징 작업에 많이 쓰인다.

FTK Imager 다운로드 방법

https://accessdata.com/product-download

들어간후 , 다운받으면 된다.

Hxd Editor 인터페이스

파일 : 파일의 열기, 저장, 인쇄가 가능한 메뉴이다.

편집 : 파일의 복사, 붙여넣기 등이 있는 메뉴이다.

찾기 : 찾기, 찾아 바꾸기, 특정 오프셋으로 이동 등 설정이 가능하다.

보기 : 화면에 표시되는 데이터 표현(아스키, 16진수 등) 설정이 가능하다.

분석 : 파일의 해시값 분석 및 두 개의 파일을 비교할 수 있다.

도구 : 물리적인 장치와 이미지 분석할 때 사용되는 메뉴이다.

분석 대상에 따른 열기 방법

램 : 도구 > 메인 메모리 열기

물리 디스크 : 도구 > 디스크 열기

디스크 이미지 : 도구 > 디스크 이미지 열기

Title : End Of Image

Description : (picture)

이 사진을 HXD 에 드래그 앤 드롭을 해보면 파일이 여러개가 있다는걸 생각할 수 있다.

왜냐면 PNG 파일의 HEADER 는 89 50 4E 47 0D 0A 1A 0A 인데 

FOOTER는 FF D9 으로 JPEG의 FOOTER 여서 이 사진 안에 여러 개가 있다는것을 알 수가 있다.

PNG FOOTER 을 찾아보면 

여기에 나오기 때문에 저기까지가 PNG FOOTER인것을 알수 있다.

FF D8 부분에서 그 전부분을 제거를 하고 다시 찾아보면

이 파일은 JPEG 파일인 것을 알수가 있다.

그리고 이것을 확장자를 .JPG 를 추가해준다음에 저장을 하면

AUTH KEY 가 나오는것을 볼수가 있다.

Hxd Editor 라는 툴에 대해서 알아볼 것이다.

Hxd Editor : 헥사 편집기 또는 헥사 코드 편집기는 기존의 일반 컴퓨터의 워드프로세서 및 편집기 소프트웨어에서 읽을 수 없는 이진 파일을 읽을 수 있는 프로그램을 통틀어서 말한다.

Hxd Editor 다운 방법

1. 구글 검색창에 Hxd Editor를 쳐서 위에 있는 사진 안에 있는 사이트로 들어간다.

2. 밑으로 내려가다보면 위에 있는 사진처럼 이런게 뜨는데 OS 를 보고 잘 선택을 해주어서 설치를 진행하면 된다.

출처 : https://ko.wikipedia.org/wiki/%ED%97%A5%EC%82%AC_%ED%8E%B8%EC%A7%91%EA%B8%B0

디지털 포렌식을 하는 데 있어 메모리와 저장장치는 거의 모든 검사에서 중추적인 역할을 한다.

반면에 프로세서나 CPU는 거의 도움이 되지 않는다. 

이제부터 기본적인 컴퓨터 환경에 대해 광범위하게 살펴보자..!

<수의 체계>

컴퓨터에서는 모든 것이 1과 0으로 이루어져 있다. 컴퓨터는 바이너리라고 불리는 2진수 언어를 사용한다.

각 1과 0을 비트라고 부른다.

사람들은 10진수라는 것을 사용하는데 , 10진수는 0에서 9까지의 숫자를 사용한다. 

컴퓨터는 더 신속하게 계산하기 위해 비트 여러 개를 모아서 작업을 한다. 이러한 비트가 여러 개 모인 것을 바이트 라고 부른다. 

이 바이트라는것은  8개의 비트로 이루어져 있으며 10110101과 같이 표현되는것이 바이트이다.

2진수를 좀 더 읽기 쉽게 해주는 방법은 바로 헥사데시멀(hexadecimal) 이다.

<헥사데시멀>

헥사데시멀 또는 헥스는 16진수로 바이너리를 좀 더 편하게 표시할 수 있는 방법이다. 

16진수는 숫자 0부터 9까지 그리고 문자 A부터 F까지 사용해서 나타낸다. 

<ASCII와 유니코드>

어떻게 1과 0들이 A와 B로 표시되는걸까 ?? 컴퓨터는 인코딩을 사용하여 바이너리를 사람이 읽을 수 있는 문자로 변환한다. 

인코딩 방법에는 두가지가 있다. 첫번째는 ASCII , 두번째는 유니코드이다.

ASCII 는 영어를 표시하기 위해 사용하는 인코딩 방법이다. ASCII는 128개의 문자를 정의하며 이 중에서 94개의 문자만이 실제로 출력될 수 있다. 

유니코드는 전 세계의 모든 언어를 표시하기 위해 사용되며 수천 개의 문자로 이루어져 있다.

여러 상황을 보면 조사관은 "비트", "바이트" 수준에서 데이터를 살펴보고 증거를 검색, 축출 및 해석해야 하는 경우가 많다. 이러한 상황은 카빙이라고 불리는 프로세스에서 가장 명확하게 드러난다.

파일 카빙은 할당되지 않은 공간처럼 특정한 형태가 없는 데이터를 바탕으로 파일의 위치를 확인하고 복원하기 위해 사용한다.

파일 카빙을 좀 더 쉽게 말하자면 파일의 시그니처랑 푸터를 확인하면서 파일을 일일히 복구하는 작업이라고 말할 수 있다.