2026 INCOGNITO CTF, The Missing Image Fragment 문제 풀이

특정 직원이 사용하던 외장 저장장치가 회수되었습니다.
조사 과정에서 일부 이미지 파일이 삭제된 정황이 확인되었습니다.

디스크 이미지를 분석하여
삭제된 이미지 파일을 복구하고
파일 구조에 남아 있는 흔적을 추적해
그 안에 숨겨진 데이터를 찾아 플래그를 획득하세요.

FLAG 형식은 INCOGNITO{...} 입니다.

---

문제 제공 파일을 압축 해제 후 FTK Imager에서 열면 이런 모습이다

$R, $I 파일이 들어있다.

$R : 윈도우 휴지통에서 삭제된 파일의 내용

$I : 파일 정보/경로를 저장하는 파일

 

일단 $R파일과 $I 파일을 전부 export해서 살펴보기로 함.

$R 파일들을 hxd 로 살펴보자.

두 이미지의 hxd를 비교해보니 다른 점은 ASCII 문자열이 하나 더 있다는 거였음.

aGlkZGVuXzIwMjY=

이걸 base64로 돌려보면

hidden_2026이 나온다!

이 hidden_2026 힌트로 뭘 할 수 있는지 고민해보다 혹시 스테가노그래피 일까봐 이미지를 돌려보기로 한다.

$I 파일을 열었을 때 알아낸 것은

$IND9FQ8 -----> F:\img_001.jpg

$IKIR439  ------> F:\img_002.jpg

이라는 것을 알 수 있었다.

이 두가지 이미지를 돌려본다.

사용한 툴은 Stegsolve.jar

딱히 특이한건 안 나오기는 하는데... 돌려보다 보면 저렇게 가운데에 검은색 점 찍히는게 신경쓰임

뭔가 쓰여있는거 같기도... 아닌 것 같기도...

 

MFT Explorer 툴을 활용해서 MFT를 확인해봤으나 유의미한 값이 보이진 않음

 

hidden_2026 ----> 이 힌트를 어떻게 해야할지 고민해봐야 할듯