> For the complete documentation index, see [llms.txt](https://docs.cooku222.kr/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.cooku222.kr/security/digital-forensics/dreamhack/dreamhack-video_in_video.md). # \[Dreamhack] video\_in\_video #### 문제 링크 {% embed url="" %} #### 문제
\ Writeup
압축을 풀면 JPG 파일이 하나 나온다. 비디오 -> JPG 형식 확인 -> 스테가노 + 병합?(앞선 스텍 팩 문제처럼) 이런 예상을 해보면서 비디오를 연다.
뭔가 화면이 엄청 깨지는 한가위 영상이 튀어나온다. 한가위나 와라..하면서 HxD로 먼저 이미지를 열어본다. 파일 형식이 병합인지 다른 단서가 있는지 추론을 해본다.

파일의 맨 마지막이 FF D9로 "마무리"되지 않는다. 뭔가 병합되었으며 FF D9가 계속 반복된다. 53번이나 반복된다.

노란색 부분을 보면 알 수 있듯이 mp4 파일의 시그니처가 같이 이어져서 나온다.
아 참고로 편집-블록 선택 기능을 통해 편집할 오프셋만 입력하면 굳이 드래그 안 해도 된다. 위의 jpg 잘라내고 mp4 형식으로 변환해준다. 새로운 파일 하나 나오겠지\~하면서\ 확장자는 .mp4로 한다.
해당 오프셋의 헥사값을 지우니까 용량이 줄어든 mp4 파일이 나온다. 열어본다.

잘 만들었다,,

HxD가 이미지를 분석하듯, 여기서는 mp4를 분석하는게 핵심인 거 같다. 영상에 플래그가 뜨지는 않는다. {% embed url="" %} 줄여서 MMFP라는 분석 툴을 사용한다.
-> 근데 이거 난 파일 구조가 그냥 루트 하나로만 나와서... 이 툴은 패스\ \ [KMPlayer | No.1 Video player for PC - Free downloadKMPlayer is a free video player that supports various files formats, subtitles, WiDi, 3D, 4K and offers audio, video, and screenshot capture.www.kmplayer.com](https://www.kmplayer.com/pc) 여기서 PC 버전용 KM player를 설치한다. \ -> 안 됨..\ -> 다시 헥사에디터로 롤백
알고보니 또 중첩된 무언가가 있단다. \ mdat 크기가 확인이 되었고, ( 0xFE07A ) \ \+ mdat은 media Data Box의 줄임말로, 주로 CTF 포렌식 문제에서 여기에 숨겨진 데이터를 넣거나 이상한 데이터 삽입함.
몰랐는데, 수정 잘못했었다. 00이 연속으로 있어서 잘못 잘라붙였는데, 하나 더 지워줘야 알맞는 파일형식이 된다. \ 다시 DAE로 롤백
드디어 정상적으로 뜬다. \ 여기서 mdat 자체를 없애는 게 아니라(딱히 이거 관련해서는 의심 증거 x), 그 뒤에 붙은 16진수의 알 수 없는 값을 추출해서 재생해보게 더 정황상 맞기에 얘를 추출하고 KM Player로 재생을 해본다.\ 참고로 타 롸업에서 KM Player로만 재생이 되어서 이상하다길래 지피티 피셜 이유를 찾아봤는데, 이렇게 손상된 구조의 mp4 영상은 일반 플레이어에서 정상 영상으로 처리가 안 되기 때문이라고 한다. 또한, KM Player가 멀티 트랙과 이런 에러에 대한 지원 폭이 넓어서 그렇다고 한다.

MMFP 기준 FF9CA이후로는 다 mdat 박스 데이터니까 헥사 에디터로 편집

새 파일로 복사 붙여넣기

방금 저장한게 무제 2
플래그값이 빙빙돌아다니는 영상이 뜬다. ``` bisc{codec_based_carving} ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.cooku222.kr/security/digital-forensics/dreamhack/dreamhack-video_in_video.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.