DIGITAL FORENSICS:BINWALK CTF II

DIGITAL FORENSICS:BINWALK CTF II

Binwalk เป็นเครื่องมือแบบ Command-line ที่ใช้สำหรับวิเคราะห์ ตรวจสอบ และสกัดข้อมูล (Extract) ที่ซ่อนอยู่ในไฟล์ไบนารี หรือไฟล์เฟิร์มแวร์ โดยอาศัยการตรวจหา "File Signatures" (Magic bytes) เพื่อดูว่าภายในไฟล์หนึ่งๆ มีไฟล์อื่นซ่อนอยู่หรือไม่

Binwalk เป็นเครื่องมือสำคัญในงาน Steganography Analysis (การวิเคราะห์การซ่อนข้อมูล) โดยทำหน้าที่ตรวจสอบและสกัด(Extract) ไฟล์ที่ถูกนำมาซ่อนไว้ในอีกไฟล์หนึ่ง 

แบบฝึกหัด: การตรวจหาและสกัดข้อมูลที่ซ่อนอยู่ในไฟล์ภาพ

ขั้นตอนที่ 1: การวิเคราะห์โครงสร้างไฟล์ (Initial Scan)

เริ่มต้นด้วยการใช้คำสั่งเพื่อตรวจสอบว่าไฟล์ sky.jpg มีอะไรซ่อนอยู่ภายในบ้าง

# Scan a file's contents

• คำสั่ง: binwalk Desktop/sky.jpg

• 
  


• สิ่งที่พบ: * ที่ Offset   0x396: เป็นข้อมูลภาพ JPEG  

  • ที่ Offset    0x4807E : พบไฟล์ RAR archive data ซ่อนอยู่

  • นี่คือจุดพิรุธ (Artifact) เพราะปกติไฟล์ภาพไม่ควรมีไฟล์ Archive ซ่อนอยู่ข้างใน

# Scan and extract a file's contents

ขั้นตอนที่ 2: การศึกษาตัวเลือกการสกัดข้อมูล (Extraction Options)

เมื่อเราพบไฟล์ซ่อนอยู่ เราต้องหาวิธีนำมันออกมา

• คำสั่ง binwalk (เมื่อรันโดยไม่มีพารามิเตอร์) จะแสดงคู่มือการใช้งาน

• 
  
  

• Option ที่สำคัญ: -e หรือ --extract ใช้สำหรับการสกัดไฟล์ที่ตรวจพบออกมาโดยอัตโนมัติ

ขั้นตอนที่ 3: การสกัดไฟล์ที่ซ่อนอยู่ (Automatic Extraction)

ทำการรันคำสั่งเพื่อสกัดไฟล์ RAR ออกจากภาพ sky.jpg

• คำสั่งที่ใช้ (โดยประมาณ): binwalk -e Desktop/sky.jpg

  
  


• ผลลัพธ์: Binwalk จะสร้างโฟลเดอร์ใหม่ชื่อ _sky.jpg.extracted ขึ้นมาใน Directory ปัจจุบัน

  
  
  

ขั้นตอนที่ 4: ตรวจสอบผลลัพธ์การสกัดข้อมูล

เข้าไปตรวจสอบภายในโฟลเดอร์ที่ได้จากการสกัด

• ภายในโฟลเดอร์พบไฟล์ 2 ไฟล์:

  1. 4807E.rar: คือไฟล์ RAR ที่ถูกสกัดออกมา 

  2. ls.txt: ไฟล์ข้อความขนาด 25 bytes

ขั้นตอนที่ 5: การกู้คืนหลักฐาน (Finding the Flag)

ขั้นตอนสุดท้ายคือการอ่านเนื้อหาภายในไฟล์เพื่อหาข้อมูลสำคัญ

• คำสั่ง: cat //home/kali/Desktop/_sky.jpg.extracted/ls.txt

• 

• หลักฐานที่พบ (Flag): csictf{j0ker_w4snt_happy}

สรุปขั้นตอนตามลำดับ

1. สแกนไฟล์: พบ JPEG (หลัก), TIFF (Metadata), JPEG (Thumbnail ที่ 0x396) และ RAR (ไฟล์ซ่อน)

2. สั่งสกัด: ใช้คำสั่งสกัดไฟล์บีบอัดออกมา

3. ตรวจสอบโฟลเดอร์: พบไฟล์ ls.txt ที่ถูกซ่อนไว้ใน RAR อีกทีหนึ่ง

4. อ่านข้อมูล: พบข้อความลับที่ซ่อนอยู่

สรุปผลการสืบสวน

จากการใช้ Binwalk เราพบว่าไฟล์ภาพ sky.jpg มีการใช้เทคนิค Steganography เบื้องต้นเพื่อซ่อนไฟล์ RAR ,txt ไว้ข้างท้ายไฟล์ภาพ ซึ่งภายในมีไฟล์ ls.txt ที่บรรจุรหัส Flag สำคัญอยู่

อ่านเพิ่มเติม: 

BINWALK CTF

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud