디지털 포렌식 전문가 과정 - 섹션5(사진 및 영상/오디오/3D파일분석)

사진 및 영상 실습

실습[1] eight_circle_of_hell 폴더

프로그래밍 언어로 만들어진 사진 파일 

 http://www.bertnase.de/npiet/npiet-execute.php - 말레볼제 http://www.malbolge.doleczek.pl/ (참고)

 

사이트에 들어가보면 지금 이미지 파일과 비슷한 사진이 보임

파일을 업로드 해보니까 이렇게 해당 파일에 대한 분석과 base64로 된 암호문이 나옴

디코딩을 했지만 알아보기가 힘듦...

이 암호문은 말리볼제라고 하는 암호문으로 또 다시 숨겨져 있는 것임!!

엄청 어려운 코드라고 한다...

 

 

실습[2]  Sum image폴더

 

mystery1, 2 이렇게 두 가지 사진이 있음

두 개의 사진 파일을 합쳐주면 원하는 데이터를 뽑아낼 수 있음 

--> 가상머신에서 진행

**SIFT3 - Distro Version(vmware로 실행)

 

sudo add-apt-repository ppa:mc3man/trusty-media

sudo apt-get update

sudo apt-get install ffmpeg

sudo apt-get install frei0r-plugins

sudo apt-get install imagemagick(도구)

 

첫번째와 두번째 사진을 합치려고 함!

convert -compose difference -composite -colorspace Gray(색) mystery1.png mystery2.png 3.png(만들 사진)

 

 

[실습3] atom delta - oscillofun.mp4

오..ㅋㅋㅋㅋ엄청 신나네

잠이 확 깼음;;

중간 부분부터 엄청 빠르게 문자열이 지나감..

forevid라는 tool을 써서 확인해주기로 함

 

이걸로 느리게 확인할 수도 있고, 프레임 추출을 할 수도 있음

 

 

[실습4] cat.mp4

음 파일이 오류가 났는지 안열리는데 원래는 xor된 영상이 나온다고 함

이것도 가상머신에서 진행함

sudo add-apt-repository ppa:mc3man/trusty-media

sudo apt-get update

sudo apt-get install ffmpeg

sudo apt-get install frei0r-plugins

sudo apt-get install imagemagick(도구)

 

cat폴더에 들어가서 원본 사진을 추출하고자 함

ffmpeg i cat.mp4 output%d.png  -------> 프레임/메타데이터 추출

첫번째 사진파일과 두번째 파일을 xor 연산을 해주면 됨

그 다음에 원본 데이터가 나오게 됨

 

 

오디오 분석

[실습1] thejoyofpainting.flac

도구: audacity

ㅎㅎㅎ

안티포렌식 기법을 적용할 수 있는 도구, 스펙트로그램, 소리 뒤집기, 파형 등등 사용 가능

 

스펙트로그램을 적용해줌

이런 주파수같은 곳에 데이터를 숨길 수도 있음

사람이 들을 수 없는 주파수에 데이터가 있음

 

 

[실습2] sayonara.mp3

두 개의 음성이 들어가 있음 --> 트랙 분할을 해줌

들어보니까 밑에 부분이 이상한 소리가 들리면서 비정상적인 음성파일인 것 같음

 

밑에 부분은 스펙트럼으로 바꾸고 속도를 늦춰주니까 잘 보이지는 않지만 문자열이 보임

 

 

[실습3] The beatles - Strawberry Fields Forever.mp3

이것도 audacity로 열어주니 2개의 음성파일이 보임

둘 다 따로 들어봤는데 아까처럼 이상한 부분은 안느껴졌음

속도를 좀 낮춰보니까

모스부호처럼 보이는 점이 보임! --> 해당 값을 하나하나 모스부호로 분석해주면 데이터가 나옴

 

 

[실습4] The beatles - Strawberry Fields Forever.mp3

이 문제는 oscll.py를 이용해서 채널2개의 RGB를 뽑아내는 것~

그래서 이미지가 나올 것 같음

import struct

from PIL import Image

def main():

    data = open("Fuzyll - The Alpha Molecule.wav", "rb").read()

    data = data[0x28:]

    dist = 10000

    for i in xrange(0, len(data)-4, dist):

        im = Image.new("RGB", (1024, 1024))

        for j in xrange(i, i + dist, 4):

            L, R = struct.unpack("<hh", data[i+j:i+j+4])

            x = 512 + L * 500 / 65536

            y = 512 + R * 500 / 65536

            im.putpixel((x,y), (255,255,255))

        im.save("test%08d.png" % i)

main()

오류가 나서 실행은 안되는데..! 강의를 통해서 보면 엄청 많은 사진들이 추출되고, 

그 사이에 알파벳이 보이는 이미지를 찾을 수 있음

 

 

[실습5] The beatles - Strawberry Fields Forever.mp3

.wav 확장자로 바꿔줌

뭔가 빨리 되감기한 느낌??

속도를 3500정도로 낮추고 들어보면 아브라카타브라..라는 소리가 들린다는데..

사실 명확하게 잘 안들림;;;;

 

 

[실습6] steg.pdf

pdf파일이 들어잇네요~hxd로 열어주고 wave를 찾아보니

pdf확장자가 끝나는 곳에 wave가 시작되고 있음!

pdf내용을 다 삭제하고 새롭게 파일을 만드니까 음성파일이 생김

 

낮은음을 0 = A

높은음을 1 = B

로 변환하면 된다고 한다....

 

[실습7] DT폴더

키보드가 있는 사진이 있고..이걸로 flag를 만드는 것 같음

전화번호 입력하는 것 같은 소리가 여러 개 겹쳐서 들림

구글링해보니까 DTMP Tones라고 이렇게 주파수랑 번호랑 연결해주는 것이 있다고 함

 

 

 

[실습1] What 2Dor 3D and 4D..find key

이 도구를 이용해서 3D파일을 확인하려고 함

뒤집혀져있긴 하지만....읽을 수 있다면 상관없지 않나...ㅎ 

무튼 3D모델링에 숨겨놓은 텍스트를 찾을 수 있음

너무 무거워서 좀 느리긴 하다..