[포렌식] Defcon round 2

 

경로	D:\coding\1900_forensic\resource\3_네트워크포렌식\3_네트워크포렌식\DefCoN#21\DefCoN#21\ROUND2

 

DEFCON 2013 Network Forensics Puzzle Contest: Track Star

Betty attempts to keep her tracks covered as she establishes a meeting location with Gregory.
Use the Round 2 packet capture in this folder to answer the following question:

1. What city are they meeting?

 

DEFCON round2를 분석하기 위해 NetworkMiner 툴을 갖고 분석하는데, NetworkMiner는 다음과 같습니다.

NetworkMiner is an open source Network Forensic Analysis Tool (NFAT) for Windows (but also works in Linux / Mac OS X / FreeBSD). NetworkMiner can be used as a passive network sniffer/packet capturing tool in order to detect operating systems, sessions, hostnames, open ports etc. without putting any traffic on the network. NetworkMiner can also parse PCAP files for off-line analysis and to regenerate/reassemble transmitted files and certificates from PCAP files.

 

https://blog.naver.com/stop2y/221033954685

NetworkMiner 개요 / 사용법

 

 

Hi Greg,

    I am so sorry I no-showed.  I wanted to make sure you didn't bring any friends :)  We can try and meet up again though!  Here is the password for where you should meet me: S3cr3tVV34p0n
Can't wait for you to get here!
Betty

 

Hi Betty,
I've got the password, I'll be there
Greg

 

위 캡쳐본에서 라인에 따라 정리하면 두 가지 힌트를 얻을 수 있습니다.

힌트:
S3cr3tVV34p0n

DCC SEND r3nd3zv0us 2887582002 1024 819200

DCC SEND에 대해서 위키 검색을 해보니, 다음과 같은 정보를 확인할 수 있습니다.
DCC(Direct Client-to-Client) SEND는 사용자가 서로 파일을 보낼 수 있게 해주는 서비스입니다. 원래 handshake는 발신자가 수신자에게 다음 CTCP를 보내는 것으로 구성되었습니다.
DCC SEND filenmae ip port file_size

ip와 port는 컴퓨터가 들어오는 연결을 수신할 ip주소, port입니다.
이에 따라서 아래와 같이 정리할 수 있습니다.
한 문장으로 정리하자면 'r3nd3zv0us'라는 파일을 1024번 포트로 전송했다는 정보를 확인할 수 있습니다.

r3nd3zv0us	파일 이름
2887582002	들어오는 연결을 수신할 ip주소
1024	들어오는 연결을 수신할 port
819200	파일 사이즈