본문 바로가기

분류 전체보기

(312)
#8 1. 파일을 다운 받는다. 2. 와이어 샤크툴 사용해 분석 RTP 라는 처음보는 프로토콜이 보인다. ***RTP 이란 실시간 전송 프로토콜이다. 즉 네트워크 상에서 오디오와 비디오를 전달하기 위한 통신 프로토콜이다. RTP는 일반적으로 사용자 데이터그램 프로토콜(UDP)로 동작한다. RTP는 RTCP(RTP Control Protocol)와 결합하여 사용된다. RTP가 오디오/비디오와 같은 미디어 스트림을 전달하는 반면, RTCP는 전송 통계와 Qos를 모니터링하고 다중 스트림의 동기화를 도와준다 ***와이어 샤크에서 RTP 분석하는방법 Telephony >> RTP 를 통해 분석이 가능하다. 8개의 내용을 Play Streams 시키면 통화 내용이 나온다 해결 play 버튼을 누르면 Hi Victori..
#7 1. 파일을다운받는다 2. 웹페이지 URL 문제이기떄문에 NetwotkMiner를 사용해 www. 만검색하여 분석해보자 Frame number 122, 4302, 6315를 살펴보자 사이트를 입력하면 진짜 사이트가 나온다 bankofamerica 와 비슷한 사이트 주소를 가진 정보가 어딘가에 남아있을거라는 추측을 할수가있다 그래서 parameter에 bankofamerica를 검색해 보자. bankofamerica.tt.omtrdc.net 이라는비슷한 주소가 나와있다. 그래서 검색을 해보니까 요청이 안되는 사이트로 뜬다. 해결
#6 1. 파일을 다운 및 분석 2. 와이어샤크로 분석 paimia.com에서 뭔가있다는걸 추축할수가 있다, 3. NetworkMiner를 사용해 확인해보자 파일 6개가 보인다. 4. VIRUSTOTAL 사이트를 사용해 파일한개 씩 확인해보자 200912.. 파일에서 악성 코드가 있다는걸 확인할수가 있다. 5. 해결
#5 1. 파일을 다운받으면 Dump 파일, log.txt 파일이 들어있다. 2. 여기 부분은 더 공부해야봐야겠다( 혼자 모든 파일을 열어서 확인함) 3. 해결 DIED
#4 1. 파일 다운 및 분석 와이어샤크를 사용해 보니 mail를 주고 받은 흔적이 있다. 2. NetworkMiner 툴을 사용해 메세지 내용을 분석해 보자 1) 첫번째 메세지 그렉! 와줘서 너무 기뻐. :) 콘서트 보러 가야지! 로드 스튜어트, 히트곡은 어때? 두 번째 메자닌, 섹션 4, H열, 410 좌석.당신은 드롭 위치와 비밀번호를 알고 있습니다. 끝나고 저녁 먹자! betty. S3cr3t.kml S3cr3t #my_pin 1 -115.1747400144938,36.11482578684966,0 -115.1747637269919,36.11483598910879,0 -115.1747994308382,36.11485348317316,0 -115.1748472898757,36.1148741240454,0..
#3 1. 파일을 다운 및 분석 ***와이어샤크를 통해 보다가 MP4 프로토콜을 확인할수가 있다. VID-20130705_145557.mp4 , ftypisom, isom3gp4 가 보인다. mp4의 파일 시그니처는 ftyp로 시작한다고 한다. RAW로 파일을 저장한다. HXD툴을 사용해 RAW저장한 파일을 열어본다. mp4의 파일 헤더는 00 00 00 18 66 74 79 70 이므로 그 이전 부분을 지워주고 mp4 파일로 저장한다. mp4파일로 저장을 해준면 동영상이 나온다
#2 1. 파일을 다운 받는다. 2. NetworkMiner툴을 사용하여 분석을 시작한다. 1) 첫번째 메시지 안녕 그렉 안 보여줘서 정말 미안해. 나는 네가 어떤 친구도 데려오지 않았는지 확인하고 싶었어:) 그래도 우리는 다시 만날 수 있어! 나를 만날 장소의 비밀번호는 다음과 같다: S3cr3tV34p0n 빨리 왔으면 좋겠어! betty. ***첫번째 메시지에서 만날 장소의 비밀번호를 확인 할수가 있다. 2) 두번째 메세지 안녕 베티 비밀번호가 있으니 가겠습니다. 그렉 ***두번째 메시지는 첫번째 메시지에 대한 답변이다. 3) 세번째 메시지 !!!DCC 이란 IRC와 관련된 하위 프로토콜로 파일을 교환할 때 사용한다. DCC CHAT DCC SEND 로 표시한다. !!! ***세번째 메시지를 분석을 하면 ..
#1 1. 파일을 다운받는다 2. NetworkMiner를 사용하여 분석을 한다. Messages를 보면 대화를 했던 흔적이 남아있다 3. 와이어샤크를 통해 자세히 보자(IRC) 뒤에 부분이 암호화되어있다는걸 확인할수가 있다 4. HTML 디코딩을 실행한다 ( https://www.convertstring.com/ko/EncodeDecode/HtmlDecode ) 5. 해결 (답 : Wednesday )