반응형
문제 : 접선 장소를 찾아라.
networkminer로 문제(pcap)를 열어보면 messages 에서 접선 장소를 위한 패스워드("S3cr3tVV34p0n")와
데이터 전송 방법("DCC SEND ...")을 확인 할 수 있다.
networkminer로 문제(pcap)를 열어보면 messages 에서 접선 장소를 위한 패스워드("S3cr3tVV34p0n")와
데이터 전송 방법("DCC SEND ...")을 확인 할 수 있다.
DCC SEND [파일명] [IP] [PORT] [파일크기] 형식으로 사용한다.
파일명 : r3nd3zv0us
IP : 2887582002 ( 10진수를 IP로 변환 -> 172.29.1.50 )
PORT : 1024
파일크기 : 819000
IP : 2887582002 ( 10진수를 IP로 변환 -> 172.29.1.50 )
PORT : 1024
파일크기 : 819000
추출한 파일과 크기가 일치한다.
1024 port로 주고받은 데이터를 요청 패킷으로 카빙한다.
해당 파일의 내부를 보면 아래 사진과 같은 파일 시그니처는 존재하지 않는다.
따라서 파일마다 시그니처가 다른 truecrypt(tc)에서 사용하는 이미지로 추측된다.
카빙한 파일의 확장자를 tc로 변경 후 truecrypt를 실행한다.
그리고 마운트에 필요한 인증 패스워드("S3cr3tVV34p0n")를 입력한다.
마운트된 볼륨에 가서 복호화된 메시지와 사진을 확인하면 접선 장소를 알 수 있다.
정답 : LAS VEGAS
1024 port로 주고받은 데이터를 요청 패킷으로 카빙한다.
해당 파일의 내부를 보면 아래 사진과 같은 파일 시그니처는 존재하지 않는다.
따라서 파일마다 시그니처가 다른 truecrypt(tc)에서 사용하는 이미지로 추측된다.
카빙한 파일의 확장자를 tc로 변경 후 truecrypt를 실행한다.
그리고 마운트에 필요한 인증 패스워드("S3cr3tVV34p0n")를 입력한다.
마운트된 볼륨에 가서 복호화된 메시지와 사진을 확인하면 접선 장소를 알 수 있다.
정답 : LAS VEGAS
반응형
'디지털포렌식' 카테고리의 다른 글
| gitstack - 메모리 포렌식 (0) | 2020.08.26 |
|---|---|
| HFS - 메모리 포렌식 (0) | 2020.08.21 |
| [CTF]Grrcon 2015 메모리 포렌식 #3 (2) | 2020.08.21 |
| [CTF]Grrcon 2015 메모리 포렌식 #2 (0) | 2020.08.21 |
| [CTF]Grrcon 2015 메모리 포렌식 #1 (0) | 2020.08.21 |
