[2020 DFC] 2020 디지털포렌식 챌린지 - 203 - Secrect message

---

Find a hidden message in ‘DFC Review.pptx’ and then complete the following sentence.

“Let’s meet with (name) at (time) on (date) at (location) of (address).”

Teams must:

-      Describe step-by-step processes for providing your solution.

-      Specify any tools used for this problem.  

---

먼저 주어진 PPT 파일의 정보는 다음과 같다.

설명 부분에 이상한 문자열이 있음을 확인하고, 문제 풀기를 시작한다.

PPT의 1번 슬라이드의 폰트에 집중해보자.

먼저 작성되어있는 슬라이드의 폰트는 Roboto Medium 폰트이다. 이 폰트를 다른 폰트로 수정해보면, 단서를 확인할 수 있다.

폰트를 맑은 고딕으로 수정해본 결과

DFC 2019 Review 2020 Planning -> DFC 2019 Revie/ 2020 Plann#ng 로 수정이 되었고,

Digital Forensics Research Forum -> Disi$al Forensics Researc%Forum 으로 수정이 되었다.

여기서 수정된 글자만 추출해보면, W, I, T, H 라는 것을 확인할 수 있다. 이점을 단서로 두고 문제 해결을 진행한다.

2번슬라이드도 동일하게 확인을 해본다.

폰트를 Roboto Medium 에서 맑은고딕으로 변경한 결과 수정된 글자는 Y, A, N, G 임을 확인할 수 있다.

 

지금까지 추출된 글자를 확인해 보면, "WITH YANG" 이다.

주어진 문제를 확인해 보면, “Let’s meet with(name) at (time) on (date) at (location) of (address).”

with(name) 부분은 해결이 되었고, 그 다음은 time과 date, location, addreses이다.

먼저 메모 부분을 추출해 확인해본다.

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

끝 문자가 ==으로 끝나는것으로 보아 base64임을 직감으로 알수 있다. 온라인 base64 decode 도구를 이용해서 확인해 본다.

확인결과 PNG 시그니쳐를 가지고 있는것으로 확인되어서, png 파일로 생성해줍니다.

value = str("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")
import base64
imgdata = base64.b64decode(value)
filename = 'temp.jpg'
with open(filename, 'wb') as f:
    f.write(imgdata)

다음과 같이 소스를 작성하여 추출하였습니다.

추출된 이미지는 "the entrance to the parking lot" 이라는 문자열을 포함하고 있고, 주자장 입구임을 확인 할 수 있습니다.

시간에 대해서는 조금 더 자세한 분석이 필요할 것 같습니다.