반응형
[NETWORK] chapter01 - 하늘은 왜 푸른색입니까?
binwalk (특정 파일에서 어떤 파일이 포함되어 있는지 분석 및 추출하는 툴)을 통해 blue.pcap 파일 내에 png 파일이 포함되어 있는 것을 확인
wireshark로 blue.pcap파일을 열고 ctrl + F로 'png' String을 검색한다. 검색 시 맨 좌측에 Packet bytes로 변경 후 검색한다.
검색하면 특정 패킷에 특정됨을 확인할 수 있다.
패킷의 헤더를 보면 [02 0c 20] 으로 시작함을 알 수 있다. ctrl+F를 통해 추가적으로 Hex값을 검색해보면 해당 헤더 [02 0c 20]을 가진 6개의 패킷을 확인할 수 있다.
283, 288, 293, 298, 303, 308, 313 패킷에 대해 wireshark의 file tab - Export Selected Packet Bytes 기능을 이용하여 순서대로 데이터 추출을 한다. (ctrl + shift + x)
Hex editor로 조합 (1.bin ~ 7.bin)
-
조합하기 전에 각 bin 파일에서 헤더인 02 0C 20 FC 03 F8 03 47 00 63 EF E6 07 부분과 맨 끝의 0E 를 지우고 저장
out.png 확인 및 문자열 확인
ASIS{ee9aa3fa92bff0778ab7df7e90a9b6ba}
반응형
'DFIR > Challenge' 카테고리의 다른 글
| 디지털포렌식 with CTF - [NETWORK] chapter01_1 (0) | 2020.01.19 |
|---|---|
| 디지털포렌식 with CTF - [NETWORK] chapter01_2 (0) | 2020.01.19 |
| 디지털포렌식 with CTF - [NETWORK] chapter01_4 (0) | 2020.01.19 |
| 디지털포렌식 with CTF - [NETWORK] chapter01_5 (0) | 2020.01.18 |
| 디지털포렌식 with CTF - [DISK Forensic] 01 (0) | 2020.01.18 |