디지털 포렌식 - network forensic 실습

포렌식

---

와이어샤크를 이용한 네트워크 포렌식 문제 풀기

[문제1] 산업 스파이 Ann…

• 와이어샤크 캡쳐파일에서 Ann의 행적을 찾는 문제이다
• ip를 가지고 ann의 행적을 찾아보자.
• 원래 검색해서 찾아야하는데 키워드가 생각 안나서 source ip로 정렬했다.

• 해당 패킷을 follow > tcp stream ㄱㄱ

• 부분 부분 정보가 들어있다.

1. id? Sec558user1 -> 제일 아이디 같아서…
2. 첫 번째 의견? Here’s the secret recipe -> 레시피를 건내준다
3. 전송한 파일이름 ? recipe.docx
4. 매직 넘버 : PK -> docx 파일의 매직넘버는 PK이다. + zip, xlsx…
5. 비밀레시피는?? 여기서는 알 수 없다

• 다른 패킷 분석 ㄱㄱ
• 4번에서 파일 확장자가 docx라는 것을 알게 되었으니 docx로 검색 해보자

• 파일 시그니쳐 PK 발견!

• PK를 시작으로 파란 부분만 긁어서 HxD에 넣어보자

• recipe.docx 로 저장

Good!

[문제2] 도망치는 Ann의 행적을 쫓아가보자!

• Ann이 mail로 주고 받았다고 했으니까 mail로 패킷을 필터링 해봅시다

• follow > tcp stream ㄱㄱ

• 뭔가 메일 내용이 시덥잖음… 다른 메일 한번 찾아보자

• 뒤져보니 네 번째 메일이 뭔가 은밀하다.. 이메일이 틀림 없음

1. ann의 이메일 : MAIL FROM: sneakyg33k@aol.com
2. password : ?

• 이 부분 뭔가 의심스러움 + 생긴게 Base64 같음 디코딩 ㄱㄱ

• 무슨 비밀번호 암호화를 base64로 하는지는 모르겠지만 여튼 비밀번호를 찾았다.

2.password : 558r00lz

3.비밀 애인 email : RCPT TO mistersecretx@aol.com

4.챙기라는 물건 : 가짜 여권 + 수영복?

5.첨부파일 이름? secretrendezvous.docx

• 또 docx 파일이다. 근데 이건 bash64로 인코딩 되어있어서 어떻게 해야할지 감이 안온다.
• 메일이라고 했으니까 메일의 확장자인 .eml 파일로 한번 추출해보자

6.만나기로 한 곳 : playa de carmen…

Good!