DIGITAL FORENSICS:BINWALK CTF II
Binwalk เป็นเครื่องมือแบบ Command-line ที่ใช้สำหรับวิเคราะห์ ตรวจสอบ และสกัดข้อมูล (Extract) ที่ซ่อนอยู่ในไฟล์ไบนารี หรือไฟล์เฟิร์มแวร์ โดยอาศัยการตรวจหา "File Signatures" (Magic bytes) เพื่อดูว่าภายในไฟล์หนึ่งๆ มีไฟล์อื่นซ่อนอยู่หรือไม่
Binwalk เป็นเครื่องมือสำคัญในงาน Steganography Analysis (การวิเคราะห์การซ่อนข้อมูล) โดยทำหน้าที่ตรวจสอบและสกัด(Extract) ไฟล์ที่ถูกนำมาซ่อนไว้ในอีกไฟล์หนึ่ง
แบบฝึกหัด: การตรวจหาและสกัดข้อมูลที่ซ่อนอยู่ในไฟล์ภาพ
ขั้นตอนที่ 1: การวิเคราะห์โครงสร้างไฟล์ (Initial Scan)
เริ่มต้นด้วยการใช้คำสั่งเพื่อตรวจสอบว่าไฟล์ sky.jpg มีอะไรซ่อนอยู่ภายในบ้าง
# Scan a file's contentsคำสั่ง:
binwalk Desktop/sky.jpg
สิ่งที่พบ: * ที่ Offset 0x396: เป็นข้อมูลภาพ JPEG
ที่ Offset 0x4807E : พบไฟล์ RAR archive data ซ่อนอยู่
นี่คือจุดพิรุธ (Artifact) เพราะปกติไฟล์ภาพไม่ควรมีไฟล์ Archive ซ่อนอยู่ข้างใน
# Scan and extract a file's contentsขั้นตอนที่ 2: การศึกษาตัวเลือกการสกัดข้อมูล (Extraction Options)
เมื่อเราพบไฟล์ซ่อนอยู่ เราต้องหาวิธีนำมันออกมา
คำสั่ง
binwalk(เมื่อรันโดยไม่มีพารามิเตอร์) จะแสดงคู่มือการใช้งาน
Option ที่สำคัญ:
-eหรือ--extractใช้สำหรับการสกัดไฟล์ที่ตรวจพบออกมาโดยอัตโนมัติ
ขั้นตอนที่ 3: การสกัดไฟล์ที่ซ่อนอยู่ (Automatic Extraction)
ทำการรันคำสั่งเพื่อสกัดไฟล์ RAR ออกจากภาพ sky.jpg
คำสั่งที่ใช้ (โดยประมาณ):
binwalk -e Desktop/sky.jpg
ผลลัพธ์: Binwalk จะสร้างโฟลเดอร์ใหม่ชื่อ
_sky.jpg.extractedขึ้นมาใน Directory ปัจจุบัน
ขั้นตอนที่ 4: ตรวจสอบผลลัพธ์การสกัดข้อมูล
เข้าไปตรวจสอบภายในโฟลเดอร์ที่ได้จากการสกัด
ภายในโฟลเดอร์พบไฟล์ 2 ไฟล์:
4807E.rar: คือไฟล์ RAR ที่ถูกสกัดออกมาls.txt: ไฟล์ข้อความขนาด 25 bytes
ขั้นตอนที่ 5: การกู้คืนหลักฐาน (Finding the Flag)
ขั้นตอนสุดท้ายคือการอ่านเนื้อหาภายในไฟล์เพื่อหาข้อมูลสำคัญ
คำสั่ง:
cat //home/kali/Desktop/_sky.jpg.extracted/ls.txt
หลักฐานที่พบ (Flag):
csictf{j0ker_w4snt_happy}
สรุปขั้นตอนตามลำดับ
สแกนไฟล์: พบ JPEG (หลัก), TIFF (Metadata), JPEG (Thumbnail ที่ 0x396) และ RAR (ไฟล์ซ่อน)
สั่งสกัด: ใช้คำสั่งสกัดไฟล์บีบอัดออกมา
ตรวจสอบโฟลเดอร์: พบไฟล์
ls.txtที่ถูกซ่อนไว้ใน RAR อีกทีหนึ่งอ่านข้อมูล: พบข้อความลับที่ซ่อนอยู่
สรุปผลการสืบสวน
จากการใช้ Binwalk เราพบว่าไฟล์ภาพ sky.jpg มีการใช้เทคนิค Steganography เบื้องต้นเพื่อซ่อนไฟล์ RAR ,txt ไว้ข้างท้ายไฟล์ภาพ ซึ่งภายในมีไฟล์ ls.txt ที่บรรจุรหัส Flag สำคัญอยู่
"ข้อควรระวังสำหรับผู้ใช้ทั่วไป" (เช่น อย่าโหลดโปรแกรมจากแหล่งไม่น่าเชื่อถือ) และ "ความรู้เพิ่มเติมสำหรับสาย Forensic" (เช่น การใช้ Hex Editor เพื่อดู Header ของไฟล์ที่ซ่อนอยู่)
อ่านเพิ่มเติม:
BINWALK CTF
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment