2014 Codegate - Weird Shark

2014  Codegate  - Weird Shark

2014년도 Codegate 대회에서 출제되었던 비교적 쉬운 포렌식 문제이다.

살펴 볼 문제 파일은 아래와 같다.

2014_CodeGate F150.pcap

위의 파일에서 Key 값을 찾는 문제이다.

pcap 확장자를 가진 파일, Packet Capture 파일임을 알 수 있다.

Packet Capture 파일은 주로 사용하는 WireShark를 통해서 열 수 있다.

파일을 열어보면 4270407998 Byte의 크기를 가지는 Packet Data에 반해 

EPB Block이 96 Byte의 크기로 너무 작다고 경고 창이 발생한다.

파일의 특정 값이 조작 되었음을 파악하고 파일을 Hex 에디터로 열어보았다. 

문제를 풀기 위해 EPB Block의 구조를 살펴보자.

위의 표를 통해 파일을 분석해보면, Captured Len과 Packet의 Len 값이 다름을

알 수 있다. 상식적으로 생각해보면 캡처한 길이와 패킷의 길이 값은 동일 해야한다.

그렇다면 둘의 값을 동일하게 바꾸어주자.

수정 결과 pcap 파일이 정상적으로 열렸음을 확인 할 수 있다.

그리고 패킷들을 살펴보다보면, HTTP 프로토콜을 이용해 여러 파일들을

주고 받았음을 확인이 가능하다.

WireShark의 HTTP Object Export 기능을 이용하여 주고받은 파일들을 추출해보자.

패킷에서 확인 할 수 있었던 여러 파일들을 확인 할 수 있다.

파일을 확인하다보면 multiple.pdf라는 파일에서 다음과 같은 내용을 볼 수 있다.

Key 값은 FORENSICS_WITH_HAXORS 라는 것을 확인이 가능하다.