Enc-JPG
드림이가 JPG파일 만드는 중에 변조가 되었어요!!JPG파일이 단단히 이상하네요…??문제 파일이 하나 잘못생성 되었습니다. ㅠ-ㅠ마지막 사진 플래그 글자수는 4개입니다.DH{JPG_TXT_PNG}#문제 이상시
dreamhack.io
flag.jpg 파일
HxD로 열어봄
FF D9 (JPG 종료 시그니처)가
1개만 있으면 정상 JPG 2개 이상이면 두 번째 이후에 숨겨진 데이터가 있을 가능성 매우 높다고 함.
그런데 FF D9 이 아예 없음.
즉, 이 파일은 "정상적인 JPG 종료 시그니처가 없다"는 뜻.
FF D9 없음 → 정상적인 JPG 종료 구조 아님
플래그 텍스트도 없음 → 이 파일엔 숨긴 문자열 없음 (혹은 삭제됨)
Enc 파일도 열어봄
시작 부분에 4D 5A 시그니처가 있음 → Windows 실행 파일(EXE)의 헤더(MZ)
실제 내부는 Windows 실행 파일(EXE) 형식으로 만들어졌다는 뜻이기 떄문에
파일 열어보면
일부만 보이는 이미지 파일임.
FF D8 FF E0 00 10 4A 46 49 46 00 01
정상적인 JPEG 헤더로 시작.
JPEG는 항상 FF D9로 끝나야 합니다.
- HxD에서 FF D9 위치 검색
- 그 이후 데이터가 있다면 JPEG 이후 붙은 숨은 데이터일 수 있음
두개가 있는데 마지막 FF D9의 다음부터 끝까지 전체 선택
복사 → 새 파일 생성 → 붙여넣기 → .png, .txt, .zip 등 다양한 확장자로 시도
PNG 파일 시그니처 들어있음
시작: 89 50 4E 47 0D 0A 1A 0A
끝: 49 45 4E 44 AE 42 60 82
이걸 flag.png 로 저장.
png 파일 이길래 스테가노그래피로 파일 디코딩 해봤는데
아녔고..
HxD에서 글자 4개 찾아야 하는구나..
PNG 시그니처 ( 89 50 4E 47 0D 0A 1A 0A ) 앞에 Find.the.String."_ENc_ECrypt"... 이렇게 하나 찾음
아 그리고
아까 FF D9 처음 나온 거를 삭제 해주고 다시 저장해봐야한다고 한다..
그러면 이렇게 플래그 앞부분 나옴.
" DH{How "
그리고 flag.png 파일에서
플래그의 마지막 부분이 발견됨.
" _yo} "
이렇게 찾은 거 다 조합하면
DH{How _ENc_ECrypt _yo}
짠!
'드림핵' 카테고리의 다른 글
| [드림핵] 워게임 WindowsPool (0) | 2025.08.25 |
|---|---|
| [워게임] BMP Recovery (1) | 2025.08.18 |
| [드림핵] 워게임 structure-based carving (4) | 2025.07.28 |
| [워게임] sleepingshark (1) | 2025.07.21 |
| [드림핵] 윈도우 포렌식 - 레지스트리, find the USB, Autoruns (0) | 2025.05.20 |
