Network 패킷포렌식(3)

01. Jensen 사건을 맡게 된 Jack과 그의 팀은 Jensen의 회사와 가정에 네트워크 탭과 무선 캡처 장비를 설치했다.

모니터링을 하는 동안 Jack은 용의자인 Betty를 발견했다. 이 사람은 Jensen 부인이 남편과 바람을 피고있는 여자일 수도 있다. 두 사람이 만나기로한 요일은 언제인가?

패킷을 확인해보면 첫화면에 바로 IRC(Internet Relay Chat)프로토콜을 볼수있습니다. IRC는 보통 6667포트를 사용하고 TCP통신을 하며 무엇보다 채팅과 관련된 프로토콜로 TCP Stream을 해보았습니다.

확인해보면 HTML 인코딩되어있는데 디코딩해서 해석해보면 됩니다.

디코딩해서 해석해보면 key값을 알수있습니다.

02. Betty는 Gregory를 만나는 것을 주저한다. 사무실에서 늦게까지 일하는 동안 Gregory는 그의 전화벨을 들었다.

그는 전화를 확인하고 Betty와 만날 수 밖에 없다는 것을 알게 됐다. 패킷을 사용해서 다음의 질문에 답하시오.

Gregory가 Betty를 만나지 못한다면 어떻게 죽게 되는가? 

힌트로 Multimedia Message Service 를 들었는데 HTTP object에 보면 mms단서를 볼수있습니다.

이 패킷이 있는 390번에 가서 TCP stream을 해봤습니다.

이 패킷을 확인해보면 mp4파일이라는걸 알수있는데 이 패킷을 HxD에 가서 추출해보겠습니다.

0x00 0x00 0x00 0x00 0x66 0x74 0x79 0x70로 mp4파일 헤더 시그니처를 찾아볼수있습니다.

파일추출해서 영상을 확인해보면 key값으로 예상되는 화면이 나옵니다.

03. Gregory가 실종 됐다! 그는 Betty를 만나서 물건을 배달하기로 되어 있었다. 그 이후, 행방이 묘연해졌다. 

이상한 물품이 Rock Solid Investigations 사무실로 도착했다. 

Jack Stone은 패키지를 열고 노트와 휴대폰을 발견했다. 

Jack은 즉시 휴대 전화를 포렌식 전문가인 당신에게 보낸다. 

Gregory에게 상품의 배달에 관한 정보를 제공받을 것이라고 말했다.

zip을 사용해서 다음의 질문에 답하시오.

Gregory에게 무슨 일이 일어난 것인가?

이번에는 네트워크 패킷문제라기 보다는 덤프라는 폴더를 줬는데 로그를 보면 안드로이드 로그 기록인걸 알수있습니다. 

폴더를 열어보면 안드로이드 폴더 구조하고 비슷한데 mnt 폴더 안에 sdcard 즉 외장메모리를 담당하는 폴더로 가면 DCIM폴더라는 사진을 찍을 때 저장되는 폴더가 있습니다. 이곳에 들어가면 카메라 폴더에 사진이 한장이 있는걸 확인할수있습니다.

이 사진의 상황이 key 값입니다.        - death를 입력했는데 key값이 아니라 당황했었는데 dead였습니다.... -

04. Mr.jensen은 그녀의 계좌 잔고를 확인하기 위해 계좌에 대한 접근 권한을 계속 유지하기로 결정한다. 

Victoria가 지시한 허위 웹페이지의 URL은 무엇인가?

계좌 잔고를 확인하는 곳은 은행(bank)임으로 필터를 bank를 찾아봤습니다.

TCP stream으로 bank관련 URL를 찾아봤지만 모두 아니였습니다.

이번에는 HTTP object에서 찾아봤는데 URL로 의심이 되는 부분을 찾아보니 key값임을 확인할수있었습니다.

05. Jack이 사건을 마무리 짓고 있을 때, 그는 수수께끼가 아직 끝나지 않았다는 것을 알게 된다.

패킷을 사용해서 수수께끼에 대해 자세한 내용을 알아보고, 다음 질문에 답하시오

누가 Gregory를 죽였는가?

패킷을 조금만 내려보면 RTP(Real-time Transport Protocol) 프로토콜을 확인해볼수있습니다. RTP포로토콜은 IP 네트워크를 통해 오디오와 비디오를 전달하기 위한 표준화된 패킷인데 와이어샤크의 기능중에 Telephony에서 RTP Stream Analysis기능이 있습니다.

play streams 를 누르면 RTP 패킷에서 잡은 이 음성을 확인해볼수있습니다. 이 음성안에 증거가 있습니다.