문제는 다음과 같습니다.
1.What will Gregory die from, if he fails to meet with Betty?
Wireshark 분석
[File -> Export Objects -> HTTP...]를 클릭하면 아래 스크린샷 사진과 같이 HTTP object list를 모아서 창을 띄워줍니다.
유의해서 볼 라인(패킷 번호)은 390, 408 다음과 같습니다.
Hostname과 Content Type이 mms와 연결되어 있는 것을 확인할 수 있습니다.
mms는 멀티미디어 메시지 서비스(Multimedia Messaging Service, MMS)로, 글자 위주의 단문 메시지 서비스(SMS)에서 발전하여, 사진, 소리, 동영상 등의 멀티미디어 메시지를 만들어 보내는 방식입니다.
해당 라인을 클릭하면 wireshark 프로그램에서 해당 패킷에 대한 정보로 이동하게 되는데,
[해당 라인 패킷 우클릭 -> Follow -> TCP Stream]을 클릭하면 아래와 같이 텍스트 창이 뜹니다.
유의해서 볼 수 있는 코드는
<video src="VID_20130705_145557.mp4" region="Image" - - -그외 >
이렇게 비디오 형태의 소스를 관찰할 수 있습니다.
위 사진과 같이 설정해줍니다. Show data as [Raw]로 설정한 뒤 클라이언트 패킷이 일정한 수에 도달할 때까지 기다립니다. 그 후 Save as 버튼으로 저장합니다.
Hxd
저장한 파일을 Hxd로 열면 위와 같은 결과를 도출할 수 있습니다.
여기서 mp4의 파일 시그니처를 잠시 찾아봅니다.
http://forensic-proof.com/archives/300
파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF
forensic-proof.com
mp4의 파일 시그니처가 00 00 00 18 66 74 79 70 임을 알 수 있고, 이를 제외한 바로 그 전 아스키코드들을 드래그해서 삭제해줍니다. 그 뒤 Ctrl+s로 저장합니다.
저장한 파일을 이름바꾸기로 해서 확장자를 .mp4로 바꾸면 동영상을 재생할 수 있는 형태로 변경이 됨을 알 수 있으며, 데프콘_round3의 답을 확인할 수 있습니다.
'Hacking&Security > forensics(포렌식)' 카테고리의 다른 글
| [포렌식] Defcon round 2 (0) | 2021.11.15 |
|---|---|
| [포렌식]FAT32 기본파일 분석 (0) | 2021.11.09 |
| [포렌식]FAT32 파티션 복구 (0) | 2021.11.05 |
| [포렌식] 포렌식 도구, StegSolve, Magnifier, SmartDeblur (0) | 2021.10.27 |
| [포렌식] Defcon round1 (0) | 2021.10.20 |
