728x90
1.파일 다운
2. 와이어샤크 툴을 사용해 분석해보자
1) HTTP object를 확인해보니까 mail를 주고 받은 흔적이있다. (NetworkMiner툴을 사용해 확인해 보자)
눈이 부시게,
가능한 한 빨리 해당 pcap을 살펴보겠습니다. 최근 스캔들에 대해 조사하는 동안 수집한 문서도 보내주실 수 있습니까?이런한 내용이고, 두번째 내용도 알겠다는 내용이다.
2) 수집한 문서도 라는 내용을 보고 다시 와이어샤크를 살펴보자
SMB 프로토콜이 보인다.
* SMB 프로토콜 = Server Message Block
네트워크 상 존재하는 노드들 간에 자원을 공유할 수 있도록 설계된 프로토콜
주로 네트워크에 연결된 컴퓨터끼리 파일, 프린터, 포트 또는 기타 메시지를 전달하는데 사용된다.
그래서 File>Export Objects>SMB을 클릭하여
SMB 프로토콜의 패킷을 추출하였다.
사용자 계정은 보통 Documents 폴더안에있다. 그래서 그 폴더를 들어가보니까 12개의 파일들이 암호화 되어있다.
암호화된 파일을 보면 암화파일 내용 맨뒤에 = 이라는 걸 보니까 base64인코딩 으로 암호를 복호화 하는거같다.
Enter the WuTang 폴더안에있는 track6 파일의 복호화이다.
해결
Kim lll-Song 이다.
