[Dreamhack] video_in

기타/워게임

zoome22 2023. 11. 18. 06:20

video_in_video

한가위 비디오를 찾아주세요... 참고: flag형식은 BISC{}이니 찾은 비디오에 bisc{}로 나와있으면 BISC{}로 바꿔주세요

dreamhack.io

3 - video_in_video - forensics

video_in_video.jpg 하나만 주어지는데 jpg 파일일 것 같지는 않다.

문제 내용도 그렇고 약간 video 파일 스냅샷 같은 느낌??

아니나 다를까 파일의 맨 마지막이 jpg의 푸터 시그니처인 FF D9로 끝나지 않았다.

심지어 FF D9를 검색하니 결과값이 54개....

위는 첫 번째 FF D9인데, 잘 보면 jpg의 푸터 시그니처(FF D9) 바로 뒤에 mp4 파일의 헤더 시그니처가 온다.

그 뒤부터는 그냥 삽입된 mp4 파일의 영역인 것 같았다. (영상 파일 바이너리에서 FF D9가 많이 나왔던 듯 그냥)

파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF

forensic-proof.com

(파일 시그니처 참고. mp4는 00 00 00 18 66 74 79 70다.)

앞의 jpg 부분을 오려내서 jpg로 빼주고 나머지를 mp4로 다시 저장하면 0초 분량의 동영상이 나온다.

여기서 단서로 보이는 건 없는데, 문제 이름처럼 이 영상 파일에 다시 mp4 파일이 있을 것으로 추측했다.

Online Mp4 Parser

www.onlinemp4parser.com

Online Mp4 Parser 툴을 사용했을 때 mp4 파일 데이터는 1046987(10진수)에서 끝났다. 그런데 파일은 2A1BC7(16진수)에서 끝난다.

그래서 1046987(10진수) 뒤부터 잘라서 따로 저장했는데 그런 꼼수는 안 통했다ㅎ

얌전히 mp4 분석 툴을 찾아보았다.

볼랜드포럼: [자작] Multi-Media File Parser 0.6.3 (MPEG - mp4/3gp/avi)

동영상 파일의 Header 정보를 Parsing하는 프로그램입니다. 개인적인 필요(AVI File Format , mp4 파일 분석)에 의해서 만들어진 프로그램으로, 간만에 업그레이드 하였습니다. MPEG 등 Multimedia 파일에 대해

cbuilder.borlandforum.com

MP4 구조 분석 툴을 쳐서 가장 먼저 나온 DAE-MMF-Parser를 사용해 열어보았다.

보통의 mp4 파일이라면 mdat에서 끝나야 할 텐데 그 뒤에 이상한 영역이 하나 더 있는 게 보인다.

분명 이게 추가로 삽입된 mp4 파일이라고 생각하고 추출해보았다~!

그러나 재생이 되지 않음..

분명 이거밖에 없는데

더 생각이 안나서 라이트업 찾아봤는데

KMPlayer라는 프로그램을 까니까 실행된다.

왜???? 기본 플레이어에서는 지원하지 않는 video 포맷인가...? 딱히 시그니처가 있는 것도 아니라서 잘 모르겠다...

심지어 나중에 파서 프로그램으로 찾은 영역을 추출한 건 동영상이 안 뜨고 그 전에 mdat 영역 뒷부분부터 싹 긁어서 저장한 파일에서 발견되었다;; 풀긴 풀었으나... 왜 이렇게 된 건지는 잘 모르겠는 문제

flag : BISC{codec_based_carving}