[CTF-d] 살인을 확인 할 수 있습니까?

4팀 최민영

 

[Digital Forensic] with CTF의 네트워크 포렌식 문제

'살인을 확인 할 수 있습니까?' 문제 풀이 시작하겠습니다.

 

  문제 상에 있는 파일을 다운받아 보니 와이어 샤크로 열 수 있는 

패킷 파일이 있는 것을 확인 할 수 있었습니다.

 

하지만 정작 이 파일을 와이어 샤크를 통해 열어볼려 하면 오류 메세지가 뜨면서
파일을 열 수 없었습니다.

 

그러던 중 손상 된 패킷파일을 수리할 수 있는 리눅스 도구가 있다하여 리눅스 환경에 설치를 해보았습니다.

 

https://installati.one/kalilinux/pcapfix/

How To Install pcapfix on Kali Linux

(설치 방법 참고 사이트)

 

정상적으로 설치가 된 것을 확인.

 

pacpfix를 통해 kill.pcapng를 수리해보았고, 

작동이 정상적으로 된 것을 마지막 줄에서 확인 할 수 있었습니다.

 

또한, kill.pcapng가 있던 파일에서 fixed_kill.pcapng가 있는 것을 확인하여
이를 윈도우로 옮겨 와이어 샤크로 열어보겠습니다.

 

원본 파일인 kill.pcapng와 다르게 fixed_kill.pcapng는 정상적으로 열리는 것을 확인

 

 

- 이후 와이어 샤크에서 막혀 여러 사이트를 참고하여 문제를 풀었습니다. - 

 

호스트간의 연결 정보를 보기 위해 Statistics - Conversations의 기능을 이용해 줍니다.

 

Conversations을 누르니 이런 화면이 나왔는데, 여기서 Port 21번(첫 번째 줄)은 FTP(File Transfer Protocol)
에 사용되는 포트번호로 파일 전송에 사용되는 포트 번호이니
이를 조사하면 호스트 간 어떤 파일을 주고 받았는지 알 수 있습니다.

 

아래의 Follow Stream으로 상세 내용을 살펴보면, TCP stream 0번에서
JPG 파일이나 MP4등의 파일을 주고 받은 내용을 확인 할 수 있었습니다.

 

이 주고받은 JPG 파일과 MP4 파일을 살펴보기 위해 Ctrl+F 키를 통해 Find Packet을 이용해 줍니다.

 

저는 JPG 먼저 조사하기 위해 Hex Value모드로 JPG의 시그니처의 앞 부분을 검색 하였습니다.

 

Sad.jpg는 별 내용이 없었는데, girls.jpg를 찾아보니 696번 패킷에 플래그가 있는 것을 확인 할 수 있었습니다.

 

이 부분만 빼와서 답에 입력하니 문제가 해결되었습니다!