네트워크 포렌식 [FTP -file upload]

오늘은 네트워크 포렌식 문제를 풀어 보려고 합니다.

일단 필요한 프로그램들이 있습니다.

 

1. 메모장

2. WireShark

3. HxD

4. Python

5. woeld

 

문제를 알아 보겠습니다.

 

 다음 문제는 이렇습니다.

 

"유출된 파일의 파일명과 파일 내용을 확인하여라."

 

 

 

 

그러면 우리는 파일명과 파일 내용을 알면 됩니다.

 

 

 

 

 

 

 

 

 

 

 

파일을 다운로드해보면 pcapng 파일인 것을 확인할 수 있습니다.

파일을 확인하려면 WireShark를 켜고 WireShark로 파일을 확인하면 됩니다.

 

 

여러 패킷들이 오고 간 것이 보입니다.

그중에서 우리가 제일 먼저 확인해봐야 할 것은 ftp입니다.

 

 

다음 확인을 위해 Follow에서 Stream을 누르면 확인이 가능합니다.

 

 

그러면 다음과 같이 확인을 할 수 있습니다.

저기서 얻을 수 있는 힌트는 docx 파일입니다.

하지만 파일 확장자는 보이지만 문서의 제목은 확인할 수가 없습니다.

 

 

raw값으로 변경을 한 뒤 HxD를 확인하기 위해서 글을 복사해줍니다.

 

 

다음 파일 확장자 파일을 바꿔주면 됩니다.

 

 

그러면 word 파일로 문서를 열면 키 값을 확인할 수 있습니다.

 

키 값 : key{s8u9pj5r42qjv63r}

 

 

다음 메모장으로 글을 수정을 해줍니다.

문자 앞에 \x 를 붙여서 글을 복사해줍니다.

 

파일명이 깨져서 우리가 아는 인코딩으로는 파일명을 찾을 수가 없었습니다.

 

그래서 다음과 같은 인코딩을 사용했습니다.

 

이제는 다음과 같이 파일명을 확인할 수 있습니다.

파일명은 '기업비밀자료(190404).docx 입니다.