[Network] DefCon#21 #5

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다.

문제를 보니 Gregory에게 무슨 일이 일어났는지 찾는것인데요, 주어진 파일은 pcap파일이 아닌 zip파일입니다.

파일을 다운 받아서 압축을 풀어봅시다.

 

압축파일 안에는 Dump폴더와 log텍스트 파일이 존재하는데요, 로그 텍스트 파일을 먼저 실행해보겠습니다.

딱히 수상한 부분은 보이지 않지만 한가지 의심이 가는것은 형광색으로 칠한 부분인데요.

이 부분은 dump_android.cpp compiled라는건 운영체제가 안드로이드인 휴대폰을 덤프를 떴다는 뜻입니다.

 

덤프란?

  특정 시점에 작업 중이던 메모리 상태를 기록한 것입니다.

 

그래서 로그 파일과 덤프 폴더가 존재했던것입니다. 그럼 덤프 파일을 조사해봐야 하니까 폴더를 찾아보도록 하겠습니다.

저는 FTK Imager를 이용해서 분석을 해볼것입니다.

FTK Imager로 zip파일을 열었을 때 덤프 폴더안에는 다양한 내부 폴더가 존재합니다.

하지만 우리가 직접적으로 봐야하는 폴더는 mnt폴더입니다.

 

mnt폴더는 안드로이드에서 일반적인 외부 저장소를 가르키는 폴더입니다. 내부를 한번 살펴보겠습니다.

위에서 설명했듯이 mnt폴더 내부에는 외부 저장소인 sdcard가 존재하는데요, sdcard안으로 들어가면 Android 폴더와 DCIM폴더가 존재합니다. DCIM폴더는 Digital Camera Image의 약자로 카메라로 찍은 사진들이 들어있는 폴더입니다.

폴더를 확장하니 Camera라는 폴더가 나오는것이 존재하시나요?? 그럼 카메라폴더안에 어떤것이 있는지 한번 봅시다.

수상한 jpg파일이 하나 존재하네요!! 그럼 jpg파일을 추출해서 열어보겠습니다.

사람이 한명 쓰러져있네요...(섬뜩)

그럼 문제에서 Gregory에게 무슨 일이 일어 났는지 물었으니까 DIED(죽다)가 되겠네요!!