전체 글 (63) 썸네일형 리스트형 Anti Forensics _ 파일 시그니처 파일 시그니처 ( File signature ) 파일들은 각각의 고유한 포멧을 가지고 있는데 포맷의 기본이 되는 내용이 파일시그니처 ( Magic number ) 이다. 파일의 맨 앞에 존재하는 시그니처는 헤더 시그니처, 파일의 마지막에 존재하는 시그니처는 푸터 시그니처라고 한다. signature header signature footer png 89 50 4E 47 0D 0A 1A 0A 49 45 4E 44 AE 42 60 82 bmp 42 4D jpg FF D8 FF E0 xx xx 4A 46 49 46 FF D9 jpeg FF D8 FF E8 xx xx 45 78 69 66 FF D9 gif 47 49 46 38 37 61 00 3B 47 49 46 38 39 61 00 3B pdf 25 50 4.. Anti Forensics _ 문서파일- 2 문서파일-2 를 열어보면 아래와 같은 내용들을 확인할 수 있다. 문서의 내용이 어떤 파일인지 분석해보자. 전체 복사 -> notepad 에 붙여넣기 " \ " 와 " ' " 를 다 지워주자 편집 -> 바꾸기 전체 복사 - > HxD 붙여넣기 후 저장 열어보면 심슨 Anti Forensics _ 문서파일- 1 문서파일- 1을 열어보니 8개의 password 를 찾으라고 한다. * 참고 * Header Signature : zip/docx 50 4B 03 04 50 4B 05 06 zip와 docx는 파일시그니처가 동일하므로 파일명 맨 뒤에 .zip 을 추가하여 저장해보자. 변환된 압축파일을 풀어보자. 다음과 같이 파일들이 생성되었다. 다른 사진이 있나 확인하기 위해 word \ media 로 이동해보자. media 폴더로 들어가면 보이지않았던 파일을 확인할 수 있음 02_파일추출_실습-2 2. 실습-2 - 실습 파일 : usb.pcap - 사용 도구 : Wireshark, SIFT3, Gnuplot(gp522-win64-mingw.exe) - 실습 내용 : 로지텍 마우스 사용 흔적 찾기 1) 와이어샤크 분석 - 'usb.pcap' 파일을 와이어샤크로 오픈한다. - 83번 데이터를 확인하면 마우스 장치가 연결되는 것을 알 수 있다. - 84번 데이터를 확인하면 로지텍 마우스가 연결된 것을 알 수 있다. 앞의 2바이트 엑스좌표 우측 2바이트가 와이좌표임 - 98번 데이터부터 마우스 좌/우 클릭한 내용을 확인할 수 있다. Leftover Capture Data: 0001fe00 2) 마우스 클릭 내용 추출 - SIFT3 리눅스에서 Tshark를 이용하여 usb.capdata 내용을 'moute.. 02_파일 추출_ 실습-1 02_파일 추출 1. 실습-1 - 실습 파일 : dns.pcap - 사용 도구 : Wireshark, SIFT3, dns.py - 실습 내용 : DNS Query(dns.qry.name), DNS CNAME(dns.cname) 정보에 암호화된 기밀 문서(docx)를 전송한 상황 DNS쿼리 --> dns서버한테 www.naver.com 의 ip 는 뭐니 라고 묻는 것 1) 와이어샤크 분석 - 'dns.pcap' 파일을 와이어샤크로 오픈한다. 파일을 와이어샤크로 열어 확인해보니 query 와 qurey response를 주고 받는것을 확인할 수 있다. Queries 와 Answers 를 들어가 Name 과 Cnam을 확인해보았더니 정상적인 사이트가 아니고 base32로 인코딩된것을 확인할 수 있다. 또한, .. DEFCON ROUND 4 4. ROUND4 - 사용 도구 : Wireshark, NetworkMiner, KML 뷰어 사이트 - 문제 : 그레고리에게 제공한 비밀번호는 무엇입니까? - hint : KML 1) 'round4.pcap' 파일을 NetworkMiner로 오픈한다. 메세지창을 열어 자세한 내용을 살펴보자 - Messages -> 첫번째 메세지 클릭 -> 메세지 내용 및 kml 확인 - 부터 끝까지 드래그 -> 메모장 붙여넣기 xml 언어로 되어있는것을 확인하였고 \ 가 여러군데 들어가잇어서 삭제해줘야됨 \는 메타 캐릭터를 수행하지 않고 문자로 처리해버린다 따옴표를 실행하지않고 문자열로 취급하므로 \를 지워줘야한다. 복사 후 메모장에 저장하고 편집 들어가서 역슬래쉬지워줌 DEFCON ROUND3 3. ROUND3 - 사용 도구 : Wireshark, HxD - 문제 : 그레고리가 베티를 만나지 않는다면 무엇 때문에 죽을까요? - hint : NO TLS + File Carving 1) 'round3.pcap' 파일을 Wireshark로 오픈한다. - File -> Export Objects -> HTTP -> Content Type : mms-message 관련 패켓 390번 클릭 -> 'Cancel' 버튼 클릭 - Filter : mp4 390 132.012 10.92.182.35 66.209.11.32 MP4 838 2) 390번 패켓의 Protocol이 MP4인것을 확인할 수 있며, 이를 추출하도록 한다. - 마우스 우클릭 -> Follow TCP Stream -> Entire conver.. Forensic _ 패킷분석 - 5 5. 패켓 분석-5.pcap - 사용 도구 : Wireshark, HxD, Hashcalc - 분석 시스템 IP 주소 : 192.168.1.158 - '192.168.1.158' IP 주소인 시스템이 메신저를 통해서 상대방 쳇팅 및 파일을 다운로드 받은 상태이다. 문제에서 사용자의 컴퓨터가 192.168.1.158 이라고 주어졌다. 필터창에 source 가 192.168.1.158 인 패킷을 찾기위해 필터창에 ip.addr == 192.168.1.158 을 입력하였다. 그 후, 해당 패킷의 내용을 보기 위해 Follow TCP Stream 을 해보자. 1) 상대방이 메신저에서 사용하는 이름은 무엇인가? 친구메신저의 이름은 Sec55user1 임을 확인할 수 있다. 2) #2. What was the fi.. 이전 1 2 3 4 5 6 7 8 다음
