Network Forensic #45 (우리는 의심스러운 네트워크...)
문제 파일로 pcapng 파일이 주어진다.
패킷 분석을 위해 Wireshark 도구를 통해 파일을 열어준다.
우선 [Statics] - [Conversations] 기능을 통해 해당 파일의 연결 정보와 내용을 확인하였다.
Conversations 기능으로 확인한 TCP 화면이다.
자세히 보면, 83558 Bytes와 80195Bytes가 매우 큰 크기로 보인다.
해당 항목을 [Follow Stream]하여 상세 스트림 내용을 확인하였다.
TCP 스트림을 확인해보면 Drawing.png라는 의심스러운 파일이 발견된다.
그리고 위 Conversations 화면을 통해 해당 파일이 전송된 포트는 80번 포트임을 알 수 있다.
결론적으로 Drawing.png 파일은 웹으로 교환되었다고 추측할 수 있다.
송수신한 파일들의 목록 확인과 추출을 위해 [File] - [Export Objects] - [HTTP] 기능을 사용하였다.
내용을 확인해보면 TCP 스트림에서 확인했던 Drawing.png 파일과 이름이 같은 jpg 파일에 관한 내용을 볼 수 있다.
해당 항목을 Drawing.jpg 파일로 우측 하단의 [Save As] 기능을 통해 저장하고 실행한다.
Drawing.jpg 파일을 열면 플래그를 확인할 수 있고 문제를 해결할 수 있다.
# Reference
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Network Forensic] 당신은 캡처 파일에서 플래그를 찾을 수 있는가? (0) | 2020.03.09 |
|---|---|
| [Network Forensic] lol team이라는 의심스러운 팀이 있습니다. (0) | 2020.03.09 |
| [Disk Forensic] 누군가 부정행위를 했다는... (0) | 2020.03.09 |
| [Multimedia Forensic] 우리는 이 이미지에... (0) | 2020.03.09 |
| [Multimedia Forensic] woof! (0) | 2020.03.09 |