1. 파일을 다운 받는다.
2. NetworkMiner툴을 사용하여 분석을 시작한다.
1) 첫번째 메시지
안녕 그렉
안 보여줘서 정말 미안해. 나는 네가 어떤 친구도 데려오지 않았는지 확인하고 싶었어:) 그래도 우리는 다시 만날 수 있어! 나를 만날 장소의 비밀번호는 다음과 같다: S3cr3tV34p0n
빨리 왔으면 좋겠어!
betty.
***첫번째 메시지에서 만날 장소의 비밀번호를 확인 할수가 있다.
2) 두번째 메세지
안녕 베티
비밀번호가 있으니 가겠습니다.
그렉
***두번째 메시지는 첫번째 메시지에 대한 답변이다.
3) 세번째 메시지
!!!DCC 이란
IRC와 관련된 하위 프로토콜로 파일을 교환할 때 사용한다.
DCC CHAT <protocol> <ip> <port>
DCC SEND <filename> <ip> <port> <file size>
로 표시한다. !!!
***세번째 메시지를 분석을 하면
DCC SEND r3nd3zv0us 2887582002 1024 819200 를보면
r3nd3zv0us 는 파일이고 2887582002는 IP주소, 1024는 포트번호 819200는 파일크기로 볼수가 있다.
3. 와이어샤크를 사용해 1025포트를 확인해 보자
*** tcp.port == 1024 명령어를 사용해 쉽게 찾을수가 있다.
4. TCP Stream를 사용해 쉽게 확인한다
*** 암호화 되어있다...
파일 사이즈를 819KB로 맞추고 Raw로 저장을 한다. (RAW 파일은 촬영센서 원본 파일 입니다)
5.이미지 파일에 암화한된걸 VeraCrypt 툴을 사용해준다.
디스크를 선책해 파일을 넣어 마운트 시키면 비밀번호를 입력하라고 뜬다.
(첫번째 메시지에서 나온 비밀번호를 입력을 한다)
6. 해결
