Forensics 풀이/[DigitalForensic]with CTF (33) 썸네일형 리스트형 Network #10-DefCoN#22 #2 이전 문제의 정답인 Kim Ill-song가 이번 문제에 훤히 나와있어서 반갑기도 하면서 한편으로는 너무 허무했다ㅎㅎ,, (시리즈 문제들이니까 이 점은 감안해야겠지,,?) 문제는 어떤 도시 관리가 뇌물을 받고 있냐고 물어보고 있다. 일단, 해당 파일을 다운로드하고 이를 살펴보았다. 이전 문제보다는 적은 양의 패킷이었지만 이 또한 양이 많았다. 밑으로 계속 내리다보면, IRC프로토콜을 사용한 흔적이 있다. * IRC 프로토콜 = International Rescue Committee 인터넷 릴레이 쳇은 실시간 채팅 프로토콜로, 여러 사용자가 모여 대화를 나눌 수 있다. 또한 개인 간의 대화 기능도 지원하며, 'DCC'라는 파일 전송 기능도 제공한다. Follow > TCP Stream을 클릭하여 IRC 프.. Network #9-DefCoN#22 #1 스노든이 발표 한 문서에 뇌물에 관한 정보가 있을 것이라 추정, 해당 파일에서 사용자 이름 목록의 2번째 이름을 찾아야 한다. 일단, 와이어샤크를 통해 해당 파일을 열어보았다. 해당파일을 살펴보면, 패킷이 엄청나게 많다는 것을 알 수 있다. 밑으로 계속 내리다 보면, SMB프로토콜을 사용한 흔적이 있다. * SMB 프로토콜 = Server Message Block 네트워크 상 존재하는 노드들 간에 자원을 공유할 수 있도록 설계된 프로토콜 주로 네트워크에 연결된 컴퓨터끼리 파일, 프린터, 포트 또는 기타 메시지를 전달하는데 사용된다. 그래서 File>Export Objects>SMB을 클릭하여 SMB 프로토콜의 패킷을 추출하였다. 이들 중에서 어떤 파일에 사용자 이름 목록이 있을까 생각해보았다. 사용자 이.. Network #8-DefCoN#21 #8 Gregory를 누가 죽였을까? round8.pcap를 다운로드하고 이를 와이어샤크로 열어보았다. 해당 파일에 무슨 단서가 있는지 살펴보던 중, 어느순간부터 RTP프로토콜이 많이 보이는 것을 발견하였다. * RTP 프로토콜 = 실시간 전송 프로토콜 IP 네트워크 상에서 오디오, 비디오를 전달하기 위한 통신 프로토콜 전화, WebRTC, 텔레비전 서비스, 웹 기반 푸시투 토크 기능을 포함한 화상 통화 분야 등의 스트리밍 미디어를 수반하는 통신, 엔터테인먼트 시스템에 사용 Telephony > RTP > RTP Streams 를 사용하여 RTP Streams를 살펴보기로 하였다. RTP Streams를 살펴보면 이렇게 8개의 리스트가 나오는데, 이를 모두 클릭하여 Analyze를 눌러준다. 그 다음 Play.. Multimedia #7-Find Key(moon) 해당 파일을 저장하고 열어보았다. 문제에서 moon을 언급한 대로 달 사진이다. 이 사진을 스테가노그래피로 살펴보았지만 아무런 단서를 얻지 못하였다. 그래서 이를 헥스에디터로 열어보았다. 이 단계의 문제들에서는 헤더 시그니처, 푸터 시그니처를 주의깊게 보는 문제들이 많았어서 이번에도 이를 중점적으로 살펴보았다. http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com 헤더 시그니처는 맞았고 푸터 시그니처를 찾아보려고 내려보던 중 어디서 많이 보았던 PK가 있어 찾아보았더니 zip파일을 의미하는 것이었다. 그래서 확장자를 zip으로 변경한 후 이를 저장하였다. 파일을.. Multimedia #51-e_e 150 e_e 귀여운 이모티콘 같은 제목이라서 풀어보았다. 해당 파일을 다운로드하여 살펴보았더니, 파일에 확장자가 없었다. 그래서 확장자를 알아보기 위해 헥스에디터로 해당 파일을 열어보았다. FF D8 FF E1 어디서 많이 본 헤더 시그니처인데 기억이 가물가물해서 밑의 블로그를 참고하여 확장자를 찾아보았다. http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com 찾아본 결과, 해당 파일의 확장자는 jpg 였다. 그래서 파일의 확장자를 jpg로 변경해준 뒤 이를 저장을 하고 다시 열어보았다. '이 사진이 뭐를 설명하는 걸까?' 다른 사진들에는 숫자가 쓰여있는데 가운데를 .. Network #4-DefCoN#21 #4 Betty의 동료라고 하는 한 단체가 Gregory에게 제공한 비밀번호를 알아내는 문제이다. 해당 파일 round4.pcap를 Network miner로 열어보았다. 단체가 Gregory에게 요구 사항 목록을 메세지로 주었을 가능성이 있어 메세지를 확인해보았다. Network Miner에서 Messages부분을 누르면, 오고 간 메세지들을 확인할 수 있다. 단체가 Gregory에게 전송한 메세지를 확인할 수 있었다. "You know the location and password for the drop." 그 뒤에는 또 다른 스크립트가 있는데, 스크립트로 봐서는 kml파일이 관련있는 것으로 보였다. 단체가 지도 파일을 건내주어 장소와 비밀번호를 준 듯 하다. 메세지 뒤의 스크립트를 메모장에 옮겨 \은 없.. Network #2-DefCoN#21 #2 그들은 어느 도시에서 만날까요? round2.pcap를 다운로드하고 와이어샤크로 이를 열어보았다. 두 호스트 간의 트래픽 양을 확인할 수 있는 방법인 Statistics> Conversations에 들어가서 Bytes 높은 순서대로 정렬하기 위해 Bytes를 한 번 클릭해주었다. 이 순서대로 TCP Stream을 살펴보면, Bytes=914K, Bytes=906K에서는 특별한 점을 찾지 못하였다. 그러나, Bytes=865K에는 이가 암호화되어 있었다! 이를 더 자세히 알아보기 위해 파일 카빙과 정렬을 한 번에 할 수 있는 프로그램인 'Network Miner'를 사용하여 round2.pcap 파일을 열어보았다. 메뉴들 중에 Messages를 누르면 오고 간 메세지들을 확인할 수 있다. 첫번째 메세지에서.. Network #5-DefCoN#21 #5 Gregory에게 무슨 일이 일어난 걸까? 그것을 알아보기 위해 round5.zip을 다운로드하고 압축을 해제해보았다. dump폴더과 log.txt파일 총 2개의 파일이 있다. * dump : 어떤 장애가 발생했을 때, 프로그램의 오류 수정이나 데이터의 검사를 위해 존재 그 상태를 출력 장치에 표시, 출력하기 위해 컴퓨터 주기억장치와 레지스터, 데이터나 프로그램 등 디지털 계산기에 존재 및 지정된 메모리 영역 log.txt 파일에서 제일 많이 볼 수 있는 문자는 "Warning" 그 외에는 dump_android.cpp complied, dump_android_fs.cpp complied를 주목해볼 수 있는데, dump폴더가 android를 사용하면서 생긴 dump파일인 것 같았다. 다음으로 dump폴더.. 이전 1 2 3 4 5 다음
