디지털포렌식 with CTF - [NETWORK] chapter01_1

나는 힉스 입자가 발견되지 않을 것이라고 미시건 대학의 Gordon Kane과 내기를 했다.

 

file 확장자가 부재하여 file 명령어로 file type 확인 - xz 압축 파일임을 확인

 

particles.pcap

다운로드

particles_2b64836f4253f4f3fcc073d0db673e53.tar

다운로드

 

 

file type을 계속확인하여 xz -> tar -> pcap 파일을 얻을 수 있었다.

 

이제 wireshark로 패킷을 분석해보자.

 

 

TCP 통신이 이뤄졌던 것을 확인

 

Follow Stream을 통해 데이터를 확인

 

 

 

tcp stream eq 0 을 보면, file명과 hash값을 알 수 있다.

 

리눅스의 string 명령어를 사용하여 pcap 파일의 string을 검색하고, SHA-1 값만 grep해 보자.

 

 

6개의 Hash 값이 확인되었으나, Hash 값만 통해 어떤 파일인지 식별이 불가능하여, Hybrid Analysis 사이트를 이용한다.

• Hybrid Analysis : 악성코드 샘플 및 파일 분석 결과 제공 사이트