Degital Forensic/Degital Forensic CTF9 [ctf-d.com] DefCoN#21 #3 문제이다. 먼저 와이어샤크를 통해 열어보자. [File] - [Export Object] - [HTTP]를 통해서 mms-message를 사용한 사실을 알게 되었다. 위에서 발견한 패킷의 정보를 바탕으로 TCP Stream을 확인하였다. VID-20130705_145557.mp4 파일을 보냈다는 사실을 알 수 있다. HxD를 통해 열어 앞에 클라이언트의 내용을 삭제한다. HxD란, 디스크 편집기 및 메모리 편집기이다. mp4 헤더 시그니처는 00 00 00 18 66 74 79 70이다. 영상을 확인하면 TOP SECRET이라고 나오면서 DYSENTERY가 나온다. Greg는 전염병으로 사망한다. 2021. 6. 28. [ctf-d.com] DefCoN#21 #2 문제이다. round.pcap를 와이어샤크를 통해 확인한다. [Statistics] - [Conversations] 기능으로 통신 기록을 살펴본다. 1024번 포트로 패킷이 전송된 것을 확인하였다. 1번 문제에서 사용하였던 와이어샤크의 TCP Stream을 통해 살펴보자. 방대한 양의 패킷이 전송되기 때문에 암호화가 되어있다. NetworkMiner 툴을 통해 확인한다. 이 툴은 각 호스트에 대한 단말의 통합적인 정보를 표현해주기 때문에 분석자가 분석하기 매우 편하다. PCAP 확장자 파일에서 전송된 파일 및 인증서를 다시 생성/재구성 한다. Betty가 Greg에게 보낸 편지 내용을 보면 비밀번호가 있다. 비밀번호: S3cr3tVV34pOn 두 번째 메시지를 보면 특별한 내용은 없다. 세 번째 문자를 .. 2021. 6. 27. [ctf-d.com] DefCoN#21 #1 문제이다. 문제에서는 round1.pcap를 제공하고 있고, 와이어샤크를 통해 열어본다. 여기서 사용하는 툴인 와이어샤크는 자유 및 오픈 소스 패킷 분석 프로그램이다. 패킷을 확인해보자. 17번 패킷을 보면 IRC 프로토콜로 통신한 것을 볼 수 있다. IRC 프로토콜이란, 일련의 규칙과 약속이 관련되어 있는 채팅 시스템으로, 클라이언트/서버 구조의 소프트웨어이다. IRC 프로토콜은 TCP를 사용하며, 대개 6637번 포트를 사용한다. 채팅 데이터가 기록되었을 확률이 높다. [Analyze] - [Follow] - [TCP Stream] 에서 찾을 수 있다. Betty와 Greg의 대화를 볼 수 있었다. 아래 문자열은 16진수로 변환되어 있다. 특수문자를 사용한 점으로 보아 HTML 인코딩 방식을 사용했다.. 2021. 6. 27. 이전 1 2 다음
