N00bCTF Forensic - please find my thumb!!

6. please find my thumb!!

지문이 사라졌다는데 지문을 찾으러 한 번 가봅시다

파일 실행

thumbs.jpg가 주어지는데 파일을 한 번 열어봅시다.

잘 나오네요 이걸 한번 010editor로 확인해보죠

파일분석

파일 헤더 시그니쳐를 확인해보니 FF D8 FF EE라는데 앞엔 jpg 파일인 듯 하면서도 아닌 것 같습니다.

그럼 푸터 시그니쳐가 있는지 확인해보죠
검색기능을 이용하여 확인합시다

보아하니 FF D9가 두개가 있습니다.

첫번째 FF D9를 보면 FF D9 다음에 50 4B 03 04...... 이렇게 되어있네요

50 4B 03 04 어디서 많이 본 것 같으니까 검색을 해봅시다.

검색을 해보니 50 4B 03 04를 헤더시그니쳐로 가진 파일 확장자들이 매우 많습니다.
그중 zip파일도 포함이 되어있습니다.

파일의 구조

제 생각에는 파일 처음에는 jpg파일이고 jpg파일이 끝나고 나서 zip파일이 덧붙여진것 같습니다.

그렇다면,
한번 thumbs.jpg를 zip파일로 바꿔볼까요?

파일 확장자를 zip으로 바꾼 뒤, 압축 풀기를 해보니 암호가 걸려 있습니다

아까 파일 분석을 하다 thumbs data라는 문자열을 본 것 같은데

이것을 비밀번호로 넣었더니 풀렸습니다.

이제 안에 있는 파일들을 볼 차례입니다.

그냥 보면 안 열리고 txt파일로 바꿔서 보면 이상한 문자들로 보입니다.

 

그래서 db를 보려면 문제의 이름과 비슷한 Thumbs viewer가 필요한데

이 프로그램을 이용해서 Thumbs.db를 볼 수 있습니다.

클리어!!!!!!!

Thumbs.db 란

큰 이미지들을 미리 보여주기 위해 로딩 속도가 빠른 작은 이미지들을 따로 만들어 놓고 필요할 때 불러서 미리보기 해주는 파일이다.

윈도우는 자체적으로 파일의 썸네일을 생성하여 데이터베이스 형식으로 보관한다. 원본 파일이 삭제되더라도 썸네일은 삭제되지 않는다.

따라서, 사용자가 고의로 삭제하지 않는 이상 썸네일은 데이터베이스에 계속 남아 있다.