前段时间水群,发现有大佬在群里讨论一道取证题,有关朝鲜Red Star OS的,觉得很有意思,遂来研究研究
题目:
We found a whole bunch of files on a laptop which was taken on a trip to North Korea. We suspect that one of the files was altered using the North Korean Red Star OS, can you find out which file?
译文:
我们在一台笔记本电脑里找到了一大堆文件那是我们去朝鲜旅行时带的。我们怀疑其中一个文件是用朝鲜红星操作系统修改的,你能找出是哪个文件吗?
附件是一个tgz格式的压缩包
里面一共1024张图片
每一张都是flag,但是每一张都不一样
从这里可以知道目的是从这些图片中找出一张正确的flag图片
围绕图片进行取证分析,既然直接看一张图片得不到很多有效信息,也不可能1024张图片一张一张看,那么就得从图片的原始十六进制数据来看,能发现什么不同或者异常
网上冲浪搜索到一篇文章
红星操作系统水印 https://insinuator.net/2015/07/redstar-os-watermarking/
从文章中可以看到,使用朝鲜红星OS编辑过的文件,会在文件尾部加上以454f46(EOF)结尾的水印
得到这个信息后,下一步的思路就是批量从这些文件的十六进制数据中筛选出带有水印特征的文件,这里可以使用取证大师或者火眼证据分析软件(需要授权)
以取证大师为例
取证大师新建案例
在添加设备的时候选择 单一文件/文件夹
在证据获取时只需要选择文件分析即可
可以看到分析结果就是里面的1024张图片
使用取证大师的原始数据搜索功能在所有文件的原始数据内容中搜索EOF
结果也是秒出,从结果中可以看到因为默认没有区分关键词的大小写,所以搜到2个文件中都有EOF,而00000881.png文件的尾部特征和前面提到的文章中的结论一致
预览00000881.png即可得到正确的flag
使用火眼证据分析软件的全局搜索功能一样可以得到结果,因为暂时没有授权无法演示,附上一张当时复现的截图
总结
以后如果遇到需要寻找朝鲜红星操作系统编辑过的文件相关问题,可以查看文件的十六进制,通过结尾的水印特征进行判断,使用取证软件对原始数据进行批量搜索,是个省时省力的好办法
关注公众号,后台回复【Red Star OS】即可获得题目附件
持续更新学习笔记
您的关注就是对我最大的支持
原文始发于微信公众号(XiAnG学安全):一次朝鲜红星操作系统取证
