Lavet af undertegnede.

Den anerkendte kubistiske kunster J. Tüddel er blevet bestjålet. Et udkast til hans næste mesterværk “Dådyr i knibe” er blevet stjålet. Heldigvis har Tüddel gemt udkastet på en kringlet måde, således at gerningsmanden ikke bare ville kunne sælge det videre. 5 dage efter tyveriet bliver den storkriminelle K. Pløs anholdt mistænkt for tyveriet. I dennes lomme bliver en USB-stick indeholdende en fil fundet. Indeholder denne fil virkelig Tüddels firkantede mesterværk?

Anvendt software: binwalk, cramfs, python

Når filen er blevet downloadet kan man via en hexeditor(HxD i windows, wxhexeditor/xxd i linux) kontrollere filens start og slut. Filen er angivet som en JPG billedfil. En sådan vil normaltvis starte med hexværdierne FF D8 og slutte med FF D9.Her ser vi at filen starter med FF D8

Ved slutningen slutter den ikke med FF D9. Mistænkeligt!

Binwalk kan med -e carve/extract data fra filen. Vi kan se at de forskellige filer indeholder forskellige andre filer, f.eks. diverse filsystemer.

Til sidst har vi to cramfs filsystemer. Disse kan binwalk ikke udpakke filer fra, så vi er nødt til at mounte dem til en mappe. Til det skal man have cramfs installeret på sin computer. Efter at have mountet .cramfs filen finder vi to tekstfiler i filsystemet. Den ene fil består af en kort tekst.

Den anden består af en linje med noget hex-lign. tekst. Hvis vi udskifter hvert “x” med en new-line og tæller linjerne ser vi, at vi har 89700 hexværdier. Da 300×300 er 90000 kan vi nogenlunde gætte os til, at hver hexværdi udgør ca. en pixel i et billede.

Ved på samme måde at indsætte en new-line og derefter at sorte og fjerne alle ikke unikke hexværdier kan vi se, at teksten indeholder 8 forskellige hexværdier. Lad os antage at de hver især udgør en farve i billedet.

Vi kan herefter skrive et python-script der går igennem filen og danner et billede. Se #comments i koden.

Og til sidst får vi så billedet sådan ca.