Network 패킷 포렌식(2)

01. 우탱아, 가을인데 단풍놀이 가야지~ 어디로 갈까?

처음 이문제를 보고 고민을 많이했습니다. 키워드가 가을 , 단풍놀이를 보고 초점을 여기에만 맞춰서 패킷파일을 살펴봤는데 Where_is_it.jpg 이라는 이미지 파일을 발견했습니다.

구글에서 이미지검색으로 검색한 결과 장소가 이곳인걸 알게되었습니다.

02. 나는 누구인가? 네오는 오라클에게 FTP로 zip 파일을 받게 되는데...

ftp프로토콜을 이용하고 zip파일을 받았다면 ftp-data로 필터링해서 확인해보았습니다. 패킷들이 많기에 Hex 값 찾기로 50 4b 03 04 를 추가로 찾아보았습니다.

TCP Stream으로 확인하면 zip파일패킷이 있는데 raw로 바꿔주고 HxD로 복사해 복원해보았습니다.

who_am_I라는 메모장안에는 Hex값이 들어있는데 이걸 헥사에디터에서 확인하면 Base64로 인코딩된 값을 확인할수있습니다.

Base64로 인코딩된 값을 디코딩을 해본다면 Key값을 확인할수있습니다.

03. 이메일을 통해 Jitae의 첫번째 데이트 기밀 정보를 입수하는데, 하지만 내용없이 파일만 첨부하였다. 데이트 장소는 언제, 몇시, 어디인가?

이메일을 보냈기에 http.request.method == GET 로 필터링을 걸러보았습니다.

확인해보면 4개의 이메일 패킷을 확인해볼수있는데 처음패킷을 TCP Stream으로 보고 raw로 바꿔 헥사에디터로 html파일로 복원해보았습니다.

mp3파일 하나가 있는데 이 파일을 따로 추출해서 mp3파일을 들어보면 개똥이네 버블버블~~ 보글보글보글 하는 6초짜리 음성을 들어볼수있습니다. 여기서 이문제에 힌트로 스테가노그래피라고 되어있습니다. 구글에  mp3stego툴을 다운받아 디코딩 해서 키 값을 확인해볼수있습니다.

04. 우태혁의 여자친구 이름은 무엇이고, 어디에 살고 있는가?

와이어샤크에는 리눅스의 grep과 비슷한 필터기능이 있습니다. 우태혁(woo tae hyuck)으로 직접 찾아보도록 하겠습니다.

패킷이 하나만 나오는데 이제 TCP Stream으로 확인해보겠습니다.

이 패킷을 살펴보면 이름과 사는곳을 확인할수있습니다.

05. 네이트온 사진 함께보기를 통하여, 우탱이는 어떤 수학문제를 풀었는가?

직접 필터로 찾아보면 데이터가 전송된 TCP통신을 확인할수있는데 TCP Stream으로 확인해보면 아래와 같습니다.

jpg 이미지 파일인걸 확인할수있는데 이 패킷을 추출해보면 아래와 같습니다.

이 사진의 둘레의 길이를 구하면 Key값입니다.