3. ROUND3
- 사용 도구 : Wireshark, HxD
- 문제 : 그레고리가 베티를 만나지 않는다면 무엇 때문에 죽을까요?
- hint : NO TLS + File Carving
1) 'round3.pcap' 파일을 Wireshark로 오픈한다.
- File -> Export Objects -> HTTP -> Content Type : mms-message 관련 패켓 390번 클릭 -> 'Cancel' 버튼 클릭
- Filter : mp4
390 132.012 10.92.182.35 66.209.11.32 MP4 838
2) 390번 패켓의 Protocol이 MP4인것을 확인할 수 있며, 이를 추출하도록 한다.
- 마우스 우클릭 -> Follow TCP Stream -> Entire conversation -> '10.92.182.35:44161 -> 66.209.11.32:80 (140462 bytes)' 선택 -> Save As -> 'round3.mp4' 이름으로 저장 -> 와이어샤크 종료
3) 'round3.mp4' 파일을 HxD로 오픈한다.
오픈해보니 순수데이터만 있는게 아니라 http 관련 데이터까지 포함되어 있으므로 HXD로 파일을 열어 mp4의 파일시그니처를 찾은 후 파일시그니처의 윗부분을 삭제해 실데이터값을 추출해보자
- MP4 시그니처(00 00 00 18 66 74 79 70)를 제외한 나머지 앞부분 HTTP 관련 내용을 삭제하고 저장한다.
Ctrl + f하여 검색하면 원하는 내용을 쉽게 찾을 수 있다.
ctrl + f 로 글자를 찾은 후 mp4의 파일시그니처 윗부분을 delete 이후 파일을 오픈하면 영상이 실행됨
4) 'round3.mp4' 파일을 실행하여 동영상 내용을 확인한다.
[참고] MMS(Multimedia Messaging Service)
- 글자 위주의 단문 메세지 서비스(SMS)에서 발전하여, 사진, 동영상, 사운드 등의 멀티미디어 메세지를 생성하여 보내는 서비스
'정보보안 > 포렌식' 카테고리의 다른 글
| 02_파일 추출_ 실습-1 (0) | 2022.09.24 |
|---|---|
| DEFCON ROUND 4 (0) | 2022.09.24 |
| Forensic _ 패킷분석 - 5 (0) | 2022.09.18 |
| Forensic_ 패킷분석-4 (1) | 2022.09.18 |
| DEFCON 2013 Network Forensics 1. ROUND2 (0) | 2022.09.18 |
