WARGAME/forensic

[dreamhack] video_in_video

lucykorea414 2023. 6. 2. 15:37
728x90

 

 

 

이 문제를 다운로드 해보면 다음과 같은 jpg 이미지가 있습니다.

한번 열어 보니, 다음과 같이 생겼습니다

 

굉장히 지지직 거리는 이미지...

Hex Fiend를 이용하여 이미지의 헥스 값을 한번 확인해보겠습니다

 

일단은 헤더가 FFD8FFE0~로 시작하는 것을 보니 JPG 파일은 맞긴 맞는가 보다.

그럼 JPG 파일의 푸터(FFD9)를 한번 찾아보자!

정말.. 수상한 위치에 나온다.....

왠지 뒤에는 다른 형식의 파일이 붙여진것 같은데?! 라는 기분에 헤더를 한번 검색해봤더니

https://www.file-recovery.com/mp4-signature-format.htm

이게 mp4의 ftyp-mmp4-mdat 파일의 구조인데, 이를 참고하면 

우리는 ftyp-isom-moov 파일임을 알 수 있다! 즉, 영상이 숨겨져 있다는 것...

 

 

그렇다면 처음의 jpg만 따로 추출하면 어떤 사진이 나올까?

처음이랑 똑같은 이미지가 나온다.........

그렇다면 영상을 한번 추출 해보자^^

 

추출한 영상을 .mp4로 변환시켜주고 실행해봤다!

완전 다른 영상이 나왔다.

근데.. 영상을 끝까지 틀어도 특별한건 보이지 않았다.

 

일단 문제 자체의 제목이 비디오 속의 비디오라고 했으니 또 다른 비디오가 숨겨져 있음을 의심해봐야 할것 같다.

그러면 일단 파일의 크기를 계산해봐야 한다.

위에 참고한 사이트(https://www.file-recovery.com/mp4-signature-format.htm)를 다시 참고해서 계산해보자.

1. 첫번째 블록 사이즈는 32 (hex: 0020)바이트이고 file sub type는 isom이다.

2. 32번 오프셋에서는 두번째 블록의 크기가 나와있는데, 이는 6441바이트 (hex: 1929)이고 type moov 이다.

3. 다음 청크는 6441+32 = 6473 오프셋에 위치해 있다.

4. 세번째 블록의 크기는 8 이고 type free이다.

5. 다음 청크는 6473+8 = 6481 오프셋에 위치해 있다.

6. 네번째 블록의 크기는 1040506이고 type mdat이다. 

7. 다음 청크는 6481+1040506 = 1046987 오프셋에 위치해 있다.

8. 근데 확인해보면 1046987 오프셋에 사이즈는 너무니 없는 값이 들어가 있고 심지어 뒤에 type도 없다.

 

 

여기서 이상한 점을 느껴서 mdat 부터 1046987까지 지워서 해보면 영상이 재생이 안되고, 1046988부터 끝까지 지워서 하면 원래 나왔던 영상만 나와서 

모르겠다!!!!!!!!!!!!!!!!!!!!!!!

 

mdat의 앞의 청크 사이즈도 파일의 마지막이랑 같아 지게 값을 수정했는데도 안된다............

728x90

'WARGAME > forensic' 카테고리의 다른 글

[써니나타스] 16번  (0) 2024.03.27
[xcz.kr] End Of Image  (2) 2023.07.16
[h4cking game] easy  (0) 2023.06.08
[h4cking game] paint  (1) 2023.06.08
[dreamhack] sleeping shark  (0) 2023.05.30