-
Network - DefCoN#21 #2$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 27. 20:09
문제를 확인해 보겠습니다.
많은양의 통신 정보가 있습니다. 많은 양의 패킷이 이동된 포트를 확인해 보겠습니다.
1024포트에 방대한 양의 패킷이 오고가기 때문에 TCP Stream를 보면 암호화가 당연히 되어있다는 것을 알 수 있습니다.
카빙과 정렬을 한번에 할 수 있는 network miner 를 이용해서 통신에 사용한 문자열을 확인해 보겠습니다.
저기에 password가 있습니다.
password : S3cr3tVV34p0n
그리고 다른 메시지를 보면...
DCC SEND r3nd3zv0us 2887582002 1024 819200
이런 문자열을 확인 할 수 있습니다.
DCC SEND란? 단말기 대 단말기 통신을 위해 사용되는 프로토콜입니다.
file name : r3nd3zv0us
ip : 2887582002
port : 1024
file size : 819200
을 알 수 있습니다.
이제 와이어 샤크에서 해당 부분을 카빙해 보겠습니다.
tcp.stream eq 138에서 819200에 맞는 819 kb를 선택합니다.
data를 Raw 로 설정하고 저장을 하면됩니다.
시그니처 값을 보면 알수가 없습니다..
그래서 암호와 알수없는 시그니처를 통해서 일단 TrueCrypt 툴을 이용하기로 했습니다.
마운트가 완료 됬습니다.
들어가서 확인을 해보면...
위와 같은 문자열이 들어 있으면서 사진에 나온 장소에서 만나기로 한 것 같습니다.
Flag : LAS VEGAS
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Multimedia - 스타워즈 시간이 돌아왔다! (0) 2019.08.13 Network - DefCoN#21 #1 (0) 2019.07.27 Multimedia - 타이틀 참조 (0) 2019.07.25 Multimedia - 정말 커다란 이미지가 있습니다. (0) 2019.07.25 Multimedia - 와우! 저는 이 이미지에... (0) 2019.07.25