[포렌식] 안티포렌식-Steg.pdf

 

경로(제 컴퓨터 기준)

D:\coding\1900_forensic\resource\5_안티포렌식\5_안티포렌식

steg.pdf 폴더가 있는 경로로 들어가 steg.pdf 파일을 열어보면 정상적인 pdf파일이 구동됨을 확인할 수 있습니다.

해당 파일을 hxd로 옮겨 분석해봅니다. 우선 포렌식을 위한 시그니처를 확인할 필요가 있습니다. 아래는 참고링크입니다.
https://blog.solaris.co.kr/36

포렌식을 위한 파일 시그니쳐 모음

 

Hxd

시그니처를 검색해봅니다. 특정 시그니처를 찾다보면 검색 결과가 나오는 시그니처가 있습니다.

RIFF 시그니처가 확인되는 것을 볼 수 있는데, RIFF에 관한 설명은 다음과 같습니다.
또한 WAV 파일 포맷과 연관되어 있음을 확인할 수 있습니다.

시그니처	52 49 46 46
RIFF란	RIFF(Resource Interchange File Format, 리소스 교환 파일 형식)는 동영상 재생을 위해 마이크로소프트가 만든 내부 데이터 포맷이다. AVI는 이것을 응용한 것이다.

 

RIFF 이전 코드들을 지우기에는 너무 많으니 드래그해서 해당 코드만 추출합니다. 
[RIFF 이후 코드 드래그 => 우클릭 =>블록 선택(select block) => save as로 저장]

추출해서 저장한 파일은 계속 확장자가 pdf로 남는데, 위에서 확인했던 대로 wav파일과 연관되어 있으므로 이름바꾸기로 확장자명을 wav로 바꿔줍니다.
[우클릭 -> 이름 변경 -> 확장자명 .wav로 변경]

확장자명을 .wav로 변경하게 될 경우 위 사진에서 박스로 표시한 부분의 두번째 파일처럼 steg.wav형태로 남을 겁니다. 
해당 파일을 분석하기 위해서 audacity 프로그램을 사용합니다.

Audacity

Audacity로 steg.wav파일을 열어보면 다음과 같은 형태로 분석가능합니다. 원 상태로 재생해서 들어보면 알 수 없는 음이 들립니다.
트랙을 분할할 필요성이 있어보입니다.

[상단 steg 클릭-> 스테레오 트랙 분할 클릭]
스테레오 트랙을 분할해줍니다.

이와 같이 깔끔하게 트랙이 분할이 되는 것을 확인할 수 있는데, 하단의 트랙만 듣기 위해서는 상단의 트랙을 음소거한 후 들어야 하므로 볼륨을 낮춰줍니다.
[상단 트랙의 볼륨 음소거 => 재생 ]

재생을 하게 되면 동일하고 반복적인 높은음과 낮은음이 교차하여서 재생되는데, 이 음을 타이핑해줍니다. 저는 한 번에 듣고 타이핑하지는 못했고, 구간을 분할해서 들었습니다. 타이핑한 결과는 타음과 같습니다.

---

BAABBAABBBAABAAAABABABABBAAAAAAABB
AABAAABAABAAAAABAAAAAAAABAABBBAABBABABBBAABBABBAABB

---

해당 음은 바코니언 알고리즘과 같습니다.
바코니언 알고리즘은 85byte 구조로 이루어졌으며, 
높은 음은 1 혹은 B로 , 낮은 음은 0 혹은 A로 나타내는 형식입니다.

아래 링크로 들어가서 바코니언 알고리즘을 해독합니다.

 

http://rumkin.com/tools/cipher/baconian.php

Baconian Cipher

[Decrypt 설정 -> 타이핑한 결과 Ctrl+V로 붙여넣기 ->해독]

바코니언 알고리즘에 따라 해독한 결과 다음과 같습니다.
THE FLAG IS BACONONT