[대회 문제 풀이로 이해하는 디스크 포렌식 분석 1강] - ZipBomb 분석 문제유형

오늘부터 인프런 강의인 "대회 문제 풀이로 이해하는 디스크 포렌식 분석"을 요약해 볼 것이다.

 

첫 번째는 zipbomb유형이다.

 

1. What is ZipBomb?

zipbomb은 프로그램이나 컴퓨터가 파일을 읽을 때 충돌하거나 뻗어버리게 하는 악의적인 압축파일이다.

대표적으로 바이러스 진입이 편하게 바이러스 검사 소프트웨어의 검사를 막는 역할을 한다.

 

 이 zipbomb을 압축하려면 엄청난 메모리와 하드디스크 용량이 필요.

 

EXAMPLE. 

대표적인 예로 42.zip 이 있다.

https://ko.wikipedia.org/wiki/Zip_%ED%8F%AD%ED%83%84

 

2. The way to solve

이 문제 유형은 그냥 파일에서 flag를 찾으면 된다. 

 

Tip : CRC (파일이 손상되었거나 틀렸는지 검사해주는 알고리즘)

 

3. ZipBomb example challenge

이제 이 zipbomb형식의 문제를 풀어볼 것이다.

아래와 같은 파일이 있다.

이 안의 파일을 미리 보면 다음과 같다.

위 파일들은 용량이 너무 많아서 한 번에 보기 힘들다, 그래서 미리보기로 보고 용량이 다른 한 파일만 추출할 것이다.

위 정보에서 딱 하나 다른 것은 013.7z 으로 packed 용량이 599kb로 저것만 다르다.

 

그래서 013.7z을 추출하고 다시 미리보기로 보면 아래와 같이 나온다.

이것도 0009.7z만 596kb로 다르다.

 

똑같이 추출하고 다시 미리보기로 확인해보자.

0000007.7z만 594kb로 다르다.

 

한번 더 추출하고 확인해보자.

이번에는 크기 차이가 점점 줄어서 kb단위로는 나타나지 않는다.

그래서 크기순으로 정렬시켜보니 0000000008.7z이 제일 크게 나왔다.

 

이걸 추출시키고 확인해보니 마지막 bomb_ 파일이 나왔다.

이것도 위에 처럼 똑같이 크기순으로 정렬하면 bomb_08이 제일 컸다.

 

마지막으로 추출하여 strings로 확인해보니 다음과 같이 flag를 확인할 수 있다.