본문 바로가기

Network Hacking

34~35일차] Carving & Signature + 문제풀이

파일 카빙(Carving)

저장 매체에 저장된(하드디스크/패킷파일 등) 바이너리 데이터로 부터 파일의 고유한 시그니처, 구조체, 헤더 정보등을 확인하여 파일을 복구하는 방법

 

시그니처 (Signature)

각 파일은 구분하기 위해 데이터의 여러 위치에 시그니처 정보가 있다. 데이터 가장 앞에 있는 시그니처를 헤더 시그니처라고하며, 데이터 가장 마지막에 있는 시그니처를 푸터/트레일러 시그니처라고 한다.

 

시그니처 기반 카빙

파일별로 존재하는 고유한 시그니처를 이용한 카빙이다.

 

시그니처 파악하는 방법 샘플 파일 : Adefdx2e

 

1. 리눅스 명령어 중 file --> 파일의 시그니처를 알려준다

 

2. HxD Tool을 이용한다.  HxDkor.zip

 

# 다운로드를 받고 그냥 스그니처 파악하기 위하는 파일을 드래그해서 옮기면 된다.

 

 

 


 

 

04-27-01문제.pcap

 

앤이 보석금으로 석방이 되어, 도망을 갔다. 다행이도 조사관들은 그녀가 도시를 떠나기 전에, 그녀의 네트워크 활동을 주의깊게 모니터링하고 있었다. 앤은 떠나기전에 앤의 애인과 대화를 나눳고 캡쳐한 파일에 그녀의 행방에 대한 단서가 있다. 당신이 법의학 수사관인데, 임무는 앤이 어디에 이메일을 보냈는지, 어디로 갔는지, 그리고 다음과 같은 증거를 찾아내는 것이다. !

 

1. 앤의 이메일 주소                                                                                  -->  sneakyg33k@aol.com
2. 앤의 비밀번호                                                                                      -->  558r00lz
3. 앤의 애인의 이메일 주소                                                                         -->  mistersecretx@aol.com
4. 앤은 x에게 어떤 두 가지을 물건을 가져오라고  하였는가?                               -->  fake passport and a bathing suit
5. 앤이 애인에게 보낸 파일의 이름                                                               -->  secretrendezvous.docx

 

※ 적절한 필터링과 TCP Flow를 통해 쉽게 답을 구할 수 있었다. 그리고 smtp는 64base 인코딩/디코딩되어 통신하기 때문에 구글링에서 쉽게 인코딩/디코딩이 가능하다.

 


 

04-27-04문제.zip


트래픽 증가로 인해 네트워크가 느려지고 있어, 해당 네트워크에서 패킷을 캡쳐 하였다.
1) 희생자 IP는 무엇이며, 희생자가 당한 공격은 어떤 공격인가?


2) 패킷 내에서 잘못된 파일(2개)을 찾고 암호를 해독하여 공격이 언제 시작해서
   언제 끝나는지 추정한다.

 

※ I/O그래프를 통해 다량의 SYN 플래그를 192.168.0.2 보낸 것을 확인 할 수 있고, Export Objects를 httl파일로 추출하여 의심스러운 파일을 찾아서 해결 할 수 있다.

 


 

 

 

고유 시그니처