TRACE

,,,다짜고짜 죽는다니!

문제를 풀어보자

HTTP objects 를 확인해보니 mms message가 있다.

둘 사이의 통신에서 mms message가 왔다갔다 한 것 같다.

해당 패킷을 찾아가면 MP4 형식을 사용하고 있는 것을 알 수 있다.

따라서 해당 패킷의 TCP Stream을 따라가 본다.

우리가 찾던 mp4 파일의 이름은 VID_20130705_145557.mp4이다.

해당 패킷을 추출(Raw로 저장)하고

추출된 패킷 중 mp4 파일을 카빙하기 위해서 mp4 파일의 헤더 시그니처를 찾아보자.

Carving 이란?
: 덩어리에서 필요없는 부분을 제거한다는 의미이며, 특정 확장자에 대한 파일들만 추출하고 싶을때 카빙한다라고 한다.

http://forensic-proof.com/archives/300

mp4 파일의 헤더 시그니처는 00 00 00 18 66 74 79 70 이다, 

패킷에서 이 부분을 찾아보자.

HxD를 통해 해당 부분을 검색해서 찾았고, 앞 부분은 Delete한 후, mp4 파일로 따로 저장했다.

YOU HAVE DIED OF DYSENTERY..

아무튼 정답은 DYSENTERY!

round1.pcap 파일을 보던 중 

IRC 프로토콜로 통신하고 있는 것을 확인할 수 있었다.

따라서 여기서 채팅 데이터를 볼 수 있을 것 같다.

IRC (Internet Relay Chat)

: 텍스트 기반의 메시지 전송 프로토콜
: 클라이언트-서버 형태의 메시지 교환 네트워크 구성
: IRC 프로토콜은 TCP를 사용하며 대개 6667번 포트를 사용

TCP Stream을 따라오니 역시 채팅 데이터가 남아있었다

서로 인사를 주고 받고, "what day do you want to meet up?"이라는 문자열에 대한 대답은

인코딩 되어 볼 수 없었다.

따라서 이 이후의 문자열을 디코딩하여 문제를 풀면 되겠다.

인코딩 된 것을 보면 &#문자열; 형태를 띄고 있다.

이는 HTML 엔티티로, HTML 인코딩 된 것임을 알 수 있다.

HTML 엔터티

: HTML에서 특정 캐릭터들이 예약되어있기 때문에 표기의 혼란을 막기 위해서 사용하는 것
: 흔히 공백을 &nbsp; 로 쓰거나 <,>를 &lt; &gt; 처럼 쓰는 것
: 앰퍼샌드 '&'로 시작하고 세미콜론 ';'으로 끝나는 문자열

따라서 HTML 디코딩 페이지를 통해 데이터를 디코딩 해주었다.

회의가 예정된 요일은 수요일(Wednesday)이다.