[Multimedia Forensic] stream

Multimedia Forensic #68 (stream)

 

멀티미디어 포렌식 68번 문제

 

문제 파일로 pcap 패킷 파일이 주어진다.

 

패킷 분석을 위해 Wireshark 도구를 사용해보자.

 

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

 

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark · Download

 

[그림 1] TCP 통신 흔적

 

Wireshark 도구로 문제 파일을 오픈한 후에 [Conversations] 기능으로 패킷을 확인해보면 TCP 프로토콜로 하나의 Stream이 존재한다.

 

해당 패킷 내용을 확인하기 위해 [Follow TCP Stream] 기능을 통해 내용을 확인해보자.

 

[그림 2] tcp.stream eq 0

 

위 [그림 2]와 같이 TCP Stream 0번을 확인해보면 User-Agent 항목 값이 브라우저가 아닌 NSPlayer로 되어 있다.

 

그리고 Content-Type 항목 값을 통해 mms 프로토콜로 파일을 응답 받았다는 것을 확인할 수 있다.

 

따라서 해당 패킷을 통해 호스트에서 동영상 재생 프로그램으로 서버의 어떤 파일을 mms 프로토콜로 시청했다고 할 수 있다.

 

자세한 정보를 확인하기 위해 HTTP Object를 확인해보자.

 

[그림 3] HTTP Object

 

Wireshark 도구에서 [File] - [Export Objects] - [HTTP] 기능을 통해 확인할 수 있으며, 살펴보면 한 개의 오브젝트가 존재한다.

 

위 [그림 3]에서 보이는 Content Type이 위에서 확인했던 TCP Stream의 Content Type과 동일하고 TCP Stream이 패킷에서 오직 1개만 존재하기 때문에 해당 파일이 시청된 동영상 파일이라는 것을 추측할 수 있다.

 

이제 해당 동영상 확인을 위해 리눅스 환경에서 환경을 구축해보자.

 

[그림 4] php 서버 실행

 

우선 리눅스에서 php로 서버를 실행한다.

 

php 설치 명령어 : sudo apt-get install php

 

 

[그림 4]와 같은 화면이 나오면 하단에 표시되는 Document root 경로에 문제 파일을 넣는다.

 

그리고 VLC Media Player을 실행한다.

 

 

VLC Media Player : DVD, 오디오 CD, VCD와 다양한 스트리밍 프로토콜뿐만 아니라 대부분의 멀티미디어 파일을 재생할 수 있는 무료 오픈 소스 크로스 플랫폼 멀티미디어 재생기

 

설치 명령어 : sudo snap install vlc

 

참조 사이트 : https://www.videolan.org/index.ko.html

VLC: 공식 사이트 - 모든 OS의 무료 멀티미디어 솔루션! - VideoLAN

 

리눅스 환경에서는 vlc-wrapper을 터미널에 입력해주면 실행할 수 있다.

 

VLC Media Player가 실행되면 다음과 같은 화면이 나타난다.

 

[그림 5] VLC 실행 화면

 

위 [그림 5]에서 표시가 되어 있는 것처럼 [미디어] - [네트워크 스트림 열기] 기능을 선택한다.

 

[그림 6] 동영상 URL 입력

 

그리고 Network URL 입력 칸에 mms 프로토콜을 이용하여 저장했던 파일의 URL을 입력하자.

 

필자는 php를 통해 127.0.0.1:7777 서버를 열었고, 문제 파일 이름을 123456으로 저장한 상태를 기준으로 하였다.

 

모든 입력이 끝났으면 우측 하단에 [재생] 버튼을 클릭한다.

 

[그림 7] 플래그 확인

 

[재생] 버튼을 클릭하면 동영상이 실행되면서 플래그를 확인할 수 있다.

 

이렇게 해서 위와 같은 방법을 통해 문제 해결이 가능하다.

 

문제 해결~~

---

# Reference

 

http://www.yes24.com/Product/Goods/59156934