N00bCTF please find my thumb!!

문제

지문이 사라졌다고 찾아달라고 한다 찾으로 가봅시다.

일단은 문제의 사진이다. 사진을 보았으니 헥스로 까보자.

앞에 시그니처는 정상적인 jpg 시그니처가 맞다.

010editor 가 일을 했으니 보아주자. 맨 밑 char unkownPadding 이라는 것이 있는데 이것은 푸터시그니처가 끝난뒤 알 수 없는 값들이 들어 있다는 것이다. 이 부분을 봐주자.

아니나 다를까 50 4B 03 04 아스키 코드로 PK.. 즉 , zip 파일이 푸터시그니처 뒤에 삽입되어있는 것을 확인할 수 있다. 이 값들을 이용해 압축파일을 떼와 보자.

압축파일을 생성했으니 이제 압축을 해제해 보자. ( Untitled1 은 내가 지은 이름이 아닌 010ediotr에서 저장할 때 자동으로 붙여주는 이름이다 )

압축을 해제하려 하자 비밀번호를 입력하라고 한다.

( 맨 처음 풀 때 이 부분에서 한참 헤매었다. )

디지털 포렌식에서는 메타 데이터가 중요한데 메타 데이터란 데이터의 의한 데이터 주저리주저리... 자세한건 구글링 하자

사진을 이리저리 굴려보면 이러한 화면이 나오는데 여기서 원래는 비어있어야 할 설명 태그에 이상한 문자열이 들어있는 것을 확인하였다. 이를 압축파일의 암호로 사용해보자.

압축이 풀렸다. 압축을 푼 뒤 화면인데 사진과 함께 thumbs.db라는 데이터베이스 파일이 들어있다.

thumbs.db 란?

thumbs.db 는 윈도우 vista 이전 즉, 이미지의 미리보기가 중앙적으로 관리되기 이전에 이미지의 미리보기를 빠르게 하기 위한 파일로 이 파일에 이미지의 미리보기 이미지를 정리해 둔 뒤 폴더를 열었을 때 미리보기 이미지를 빠르게 읽어와 보여주기 위한 역할을 한다.

포렌식적 관점으로 보았을 때 컴퓨터를 자세히 아는 사람이 아니면 이 파일들을 일일이 삭제하지 않기 때문에 이를 이용해 증거 이미지를 구할 수 있어 중요한 윈도우 아티팩트이다.

자 그럼 thumbs.db 가 무슨 파일인지 알았으니 thumbs.db를 분석해보자.

thumbs.db에 저장되있는 이미지를 가져오기 위해서는 foremost와 같은 툴을 이용해 이미지를 하나하나 뜯어내거나 그래도 되지만 우리는 더욱 편리한 툴이있다.

툴 이름은 Thumbs Viewer 인데 이를 이용해 Thumbs.db 를 불러와 Save All 버튼 한번 클릭해주면 자동으로 파일들을 저장해준다.