반응형
나는 힉스 입자가 발견되지 않을 것이라고 미시건 대학의 Gordon Kane과 내기를 했다.
file 확장자가 부재하여 file 명령어로 file type 확인 - xz 압축 파일임을 확인
file type을 계속확인하여 xz -> tar -> pcap 파일을 얻을 수 있었다.
이제 wireshark로 패킷을 분석해보자.
TCP 통신이 이뤄졌던 것을 확인
Follow Stream을 통해 데이터를 확인
tcp stream eq 0 을 보면, file명과 hash값을 알 수 있다.
리눅스의 string 명령어를 사용하여 pcap 파일의 string을 검색하고, SHA-1 값만 grep해 보자.
6개의 Hash 값이 확인되었으나, Hash 값만 통해 어떤 파일인지 식별이 불가능하여, Hybrid Analysis 사이트를 이용한다.
-
Hybrid Analysis : 악성코드 샘플 및 파일 분석 결과 제공 사이트
반응형
'DFIR > Challenge' 카테고리의 다른 글
| 디지털포렌식 with CTF - [NETWORK] chapter01_0 (0) | 2020.01.19 |
|---|---|
| 디지털포렌식 with CTF - [NETWORK] chapter01_2 (0) | 2020.01.19 |
| 디지털포렌식 with CTF - [NETWORK] chapter01_3 (0) | 2020.01.19 |
| 디지털포렌식 with CTF - [NETWORK] chapter01_4 (0) | 2020.01.19 |
| 디지털포렌식 with CTF - [NETWORK] chapter01_5 (0) | 2020.01.18 |