문제

,,,다짜고짜 죽는다니!

문제를 풀어보자

 

round3.pcap의 HTTP objects

HTTP objects 를 확인해보니 mms message가 있다.

둘 사이의 통신에서 mms message가 왔다갔다 한 것 같다.

 

해당 패킷을 찾아가면 MP4 형식을 사용하고 있는 것을 알 수 있다.

 

따라서 해당 패킷의 TCP Stream을 따라가 본다.

Follow TCP Stream

우리가 찾던 mp4 파일의 이름은 VID_20130705_145557.mp4이다.

해당 패킷을 추출(Raw로 저장)하고

추출된 패킷 중 mp4 파일을 카빙하기 위해서 mp4 파일의 헤더 시그니처를 찾아보자.

 

Carving 이란?
: 덩어리에서 필요없는 부분을 제거한다는 의미이며, 특정 확장자에 대한 파일들만 추출하고 싶을때 카빙한다라고 한다.

 

http://forensic-proof.com/archives/300

 

파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF

 

forensic-proof.com

mp4 파일 시그니처

 

mp4 파일의 헤더 시그니처는 00 00 00 18 66 74 79 70 이다, 

패킷에서 이 부분을 찾아보자.

 

 

HxD에서 검색

HxD를 통해 해당 부분을 검색해서 찾았고, 앞 부분은 Delete한 후, mp4 파일로 따로 저장했다.

 

짜잔

 

YOU HAVE DIED OF DYSENTERY

YOU HAVE DIED OF DYSENTERY..

그렇다고 한다

아무튼 정답은 DYSENTERY!

 

'Study > Forensic' 카테고리의 다른 글

[Network Forensic] DefCoN#21#6  (0) 2021.11.29
[Network Forensic] DefCoN#21#5  (0) 2021.11.18
[Network Forensic] DefCoN#21#4  (0) 2021.11.18
[Network Forensic] DefCoN#21#2  (0) 2021.11.17
[Network Forensic] DefCoN#21#1  (0) 2021.11.17

+ Recent posts

티스토리툴바