[xcz.kr] PROB1 문제 풀이

1번 문제입니다.

힌트는 End Of Image라고 나와있고 이미지 파일은 PNG 파일입니다.

PNG 파일이므로 이를 분석하기 위한 정보를 찾아보았습니다.

그리고 이미지를 WinHex로 열어보았습니다.

설명대로 IHDR이 첫번째 청크로 나타나고 있습니다. 

또한 "89 50 4E 47"이라는 헤더 시그니처는 파일이 PNG 파일이라는 것을 나타내주고 있습니다.

문제의 힌트대로 이미지의 끝을 살펴보았습니다. 

PNG 파일이라면 마지막에 'IEND'라는 청크가 나와야하는데 이 이미지 파일의 끝에는 이와 같은 청크가 없습니다.

그리고 "FF D9"로 끝나는데, 아시다시피 이는 JPG 파일의 Footer 입니다.

시작은 PNG 파일의 시그니처인데 끝은 JPG 파일의 시그니처인 것으로 보아 2개의 이미지 파일이 합쳐진 형태라는 것을 알 수 있었습니다.

PNG 파일이 어디서 끝나는지 알기 위하여 IEND 문자열을 찾아보았습니다.

PNG 파일의 끝을 찾을 수 있었고, 그 뒤쪽에 JPG 파일의 헤더 시그니처인 "FF D8 FF E1"도 찾을 수 있었습니다.

따라서, JPG 파일의 시작지점부터 파일의 끝까지 카빙해서 jpg 파일로 확장자를 변경해보면 답을 얻을 수 있습니다.

[파일 시그니처 정리되어 있는 곳]

http://forensic-proof.com/archives/300

[참고]

https://ko.wikipedia.org/wiki/PNG