문제이다. 문제에서는 round1.pcap를 제공하고 있고, 와이어샤크를 통해 열어본다.
여기서 사용하는 툴인 와이어샤크는 자유 및 오픈 소스 패킷 분석 프로그램이다.
패킷을 확인해보자.
17번 패킷을 보면 IRC 프로토콜로 통신한 것을 볼 수 있다.
IRC 프로토콜이란, 일련의 규칙과 약속이 관련되어 있는 채팅 시스템으로, 클라이언트/서버 구조의 소프트웨어이다. IRC 프로토콜은 TCP를 사용하며, 대개 6637번 포트를 사용한다.
채팅 데이터가 기록되었을 확률이 높다.
[Analyze] - [Follow] - [TCP Stream] 에서 찾을 수 있다.
Betty와 Greg의 대화를 볼 수 있었다. 아래 문자열은 16진수로 변환되어 있다. 특수문자를 사용한 점으로 보아 HTML 인코딩 방식을 사용했다는 것을 알 수 있었다.
문자 디코딩: How does Wednesday sound?
문자 디코딩: Great :) what time?
문자 디코딩: ah 2pm
문자 디코딩: Ok, I can't wait!
회의가 예정된 요일은 수요일이고 시간은 2시이다.
'Degital Forensic > Degital Forensic CTF' 카테고리의 다른 글
| [ctf-d.com] DefCoN#21 #6 (0) | 2021.06.28 |
|---|---|
| [ctf-d.com] DefCoN#21 #5 (0) | 2021.06.28 |
| [ctf-d.com] DefCoN#21 #4 (0) | 2021.06.28 |
| [ctf-d.com] DefCoN#21 #3 (0) | 2021.06.28 |
| [ctf-d.com] DefCoN#21 #2 (0) | 2021.06.27 |
