전체 글 (638) 썸네일형 리스트형 [네트워크 포렌식] 당신은 캡처 파일에서 플래그를 찾을수 있는가? 문제에서 pcap 패킷 파일 하나가 주어집니다. 이를 와이어샤크로 열어보겠습니다. 위와 같이 TCP 프로토콜을 사용하여 통신한다는 점을 확인할 수 있습니다. 와이어샤크의 conversations 기능을 사용하여 패킷을 확인하여 보겠습니다. 위와 같이 하나의 stream이 존재합니다. Follow Stream 기능을 사용하여 자세히 분석해 보겠습니다. Follow Stream 기능을 사용하면 위와 같이 FLAG 값이 나오게 됩니다. [네트워크 포렌식] lol team이라는 의심스러운 팀이 있습니다. 문제에서 lolteam.pcapng라는 패킷 캡쳐 파일이 하나 주어집니다. 이를 와이어샤크로 열어보겠습니다. 위와 같이 8개의 패킷이 캡쳐되어 있습니다. 자세한 분석을 위해 TCP Stream으로 열어보겠습니다. TCP Stream에서는 위와 같은 내용이 나옵니다. Referer 항목을 보면 http://2014.easyctf.com/account 링크로 HTTP POST 요청을 하고 있음을 확인할 수 있습니다. 쿠키 아래에 문자열을 보면 password=flag~로 나와있는 부분도 보입니다. 추가적인 정보를 위하여 HTTP 프로토콜의 패킷을 분석해 보겠습니다. 4번 패킷인 HTTP 프로토콜을 분석해보면 password 값의 value를 구할 수 있습니다. [네트워크 포렌식] woodstock-1 문제에서 ws1_2.pcapng라는 패킷 캡쳐 파일 하나를 줍니다. 이 파일을 와이어샤크를 통해 확인해 보겠습니다. 위와 같이 TCP 프로토콜을 사용하여 데이터를 주고받은 점을 확인할 수 있습니다. 주고받은 데이터를 확인하기 위하여 첫 번째 패킷을 선택하고 TCP Stream을 확인해 보겠습니다. TCP Stream에서 정답에 해당하는 KEY 값을 찾을 수 있었습니다. [메모리 포렌식] GrrCON 2016 #2 #2번 문제는 #1번 문제에서 발견한 악성 코드의 User Agent 문자열을 발견하는 문제입니다. 악성 코드가 SkypeC2AutoApd 인 것을 발견했으니, volatility의 pslist 플러그인으로 pid를 찾아줍니다. pid가 1364인 것을 확인하였으니, memdump 플러그인으로 덤프해 주겠습니다. strings 프로그램으로 읽기 쉽게 txt 파일로 변환하였고, 이 파일을 텍스트 에디터로 열어서 분석하겠습니다. 파일에서 agent로 검색하면 useragent를 찾을 수 있습니다. [메모리 포렌식] GrrCON 2016 #1 GrrCON 2016의 #1번 문제입니다. #1번과 #2번은 win7ecorpoffice~ 파일을 사용한다고 합니다. 먼저 volatility의 imageinfo 플러그인을 통하여 메모리의 정보를 살펴 보겠습니다. 문제에서 컴퓨터에서 혼란을 일으킨 것(악성코드)가 무엇인지, 그리고 IP 주소와 관련된다고 하니 netscan 플러그인을 통하여 살펴보겠습니다. 문제에서 악성코드 C2라고 언급하였기 때문에 SkypeC2AutoApd 프로세스가 악성코드임을 알 수 있습니다. SkypeC2AutoApd 프로세스에 3개의 IP가 할당된 것을 확인할 수 있습니다. 문제에서 CEO의 IP가 10.1.1.112라고 하였으니 외부 IP인 54.174.131.235가 정답이 되겠습니다. 이전 1 ··· 83 84 85 86 87 88 89 ··· 128 다음
