반응형
[NETWORK] chapter01 - 살인을 확인할 수 있습니까? 부검 파일에 서명해주세요.
kill.pcapng
다운로드
kill.pcapng 파일이 정상적으로 열리지 않는 것을 확인
pcap file을 우분투 docker로 복사하여 아래 명령 설치 및 실행 (pcapfix)
# apt-get install pcapfix
복구가 완료되면 파일명에 'fixed_'문자열이 붙은 파일이 생성된다.
docker를 빠져나온 뒤 복구한 pcap파일을 호스트로 복사
statistics - Conversations을 통해 두 host간 연결 정보 및 내용을 확인
TCP Stream으로 패킷 상세 내용 확인
-> jpg, mp4 파일을 전송한 내용 확인
-
jpg 파일의 시그니처 [FF D8 FF E0 xx xx 4A 46 49 46]이다.
-
Wireshark의 Find Packet(Ctrl + F)에서 해당 시그니처 값을 Hex Value로 설정하고 검색해보면 jpg 파일들의 데이터를 확인할 수 있다.
696 패킷에서 데이터가 보이질 않아 해당 패킷에서 TCP Stream을 진행하여서 flag값을 확인할 수 있었다.
반응형
'DFIR > Challenge' 카테고리의 다른 글
| 디지털포렌식 with CTF - [NETWORK] chapter01_3 (0) | 2020.01.19 |
|---|---|
| 디지털포렌식 with CTF - [NETWORK] chapter01_4 (0) | 2020.01.19 |
| 디지털포렌식 with CTF - [DISK Forensic] 01 (0) | 2020.01.18 |
| 디지털포렌식 with CTF - [DISK Forensic] 02 (0) | 2020.01.17 |
| 디지털포렌식 with CTF - [DISK Forensic] 03 (0) | 2020.01.17 |