비전공자의 포렌식일기

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 이번 문제를 보면 Betty동료가 Gregory에게 제공한 비밀번호를 찾는것입니다. 비밀번호를 줬다는것은 메세지를 받았다는 추측할 수 있습니다. 그럼 Network Miner를 통해서 pcap파일을 보겠습니다. 열어보니 아니나 다를까 Hey Greg으로 시작하는 메세지가 와있습니다. 그래서 더 스크롤을 내려보니 스크립트 코드가 있는걸 확인할 수 있는데 코드를 보면 kml파일로 짜여진 스크립트 코드인걸 알 수 있습니다. kml파일을 구글에 검색해보니 Keyhole Markup Language의 약자로써 구글 어스, 구글 지도 등 브라우저에서 지리 데이터를 표시하는 데 사용되는 파일 형식이라고 적혀있습니다. 그럼 ..

이번 시간에는 CTF-d 워게임 사이트에서 네트워크 카테고리에 문제를 풀어보도록 하겠습니다. 문제를 읽어 보겠습니다. 문제를 읽어 봤을때 풀어야 하는 문제는 회의가 예정된 요일이 언제인지를 찾아야 하는데, 언제 진행 되었는지 알 수 있는 데이터가 어떤 형식으로 작성되어 있는지 알 수가 없기 때문에 WhireShark분석 도구를 통해서 패킷 용량, 프로토콜 등을 확인하면서 찾아야 합니다. 주어진 문제파일인 round1.pcap파일은 pcap(Packet Capture)의 약자로 패킷을 캡처한 파일이라고 생각하시면 됩니다. 그럼 바로 문제풀이를 해보겠습니다. 주어진 문제파일입니다. 이제 WhireShark로 열어 보겠습니다. 문제를 열었더니 패킷들이 많이 잡혀있습니다. 그중에서 실행을 했을 때, 가장 먼저 ..