본문 바로가기
Hacking & Security/Digital Forensic

[3주차] 디지털 포렌식 실습

by 희디 2022. 5. 10.

<네트워크 포렌식 도구 조사> 

 

1) CapTipper

 

CapTipper란 HTTP 악성 트래픽을 분석할 수 있는 python 도구이다.

- pcap 파일을 분석하면 명령어를 입력할 수 있는 콘솔이 나온다.

- 실제 연결된 웹 페이지를 가상환경에서 들어가볼 수 있다. 

- 같은 기능을 하는 툴로 wireshark가 있다고 한다. 

 

이에 관한 내용은 아래의 블로그를 참고하였다. 

https://laoching.tistory.com/entry/CapTipper%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-pcap%ED%8C%8C%EC%9D%BC-%EB%B6%84%EC%84%9D 

 

2) Network Miner

 

- Network Miner란, 네트워크 포렌식 분석 툴이다. (NFAT)로, 운영체제, 세션, 호스트 이름, 열린 포트 등을 검색하기 위해 - 수동 네트워크 스니퍼/패킷 캡처 도구로 사용된다. 

- 각 호스트에 대한 단말의 통합적인 정보를 표현해주기 때문에 분석자가 보기 분석하기에 매우 편하다. 

- PCAP 파일에서 전송된 파일 및 인증서를 다시 생성/재구성 한다. 

- 어떠한 파일(이미지, 문서 등등)이 전송되었는지 재구성하여 보여준다. 

- 파일 추출을 위해 사용되는 프로토콜은 FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, IMAP 등이 있다. 

 

설치 방법 및 사용법은 아래 블로그에서 확인할 수 있고 내용참조도 여기서 했다. 

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=stop2y&logNo=221033954685 

 

 

3) Wireshark

오픈 소스 패킷 분석 프로그램으로, pcap을 이용하여 패킷을 잡아내는 것이 주요 기능이다. 

- 무차별 모드를 지원해서 나한테 들어오고 나가는 패킷만 얻을 수 있는 것이 아니라 브로드캐스트나 멀티캐스트 트래픽도 얻을 수 있다. (하지만 모든 것을 확인할 수 있는 것은 아니다) 

- 네트워크의 문제, 분석, 소프트웨어 및 통신 프로토콜 개발 및 교육에 쓰인다. 

- 크로스 플랫폼으로, Qt 위젯 툴킷을 이용하여 사용자 인터페이스를 제공하며, pcap을 이용해 패킷을 포획한다. 

- 패킷 캡처 분석도구로서 전송되어 분할된 파일들을 RaqData로 표현하고, 다시 생성하여 사용자에게 보여주지 않는다. 

 

 

<Wireshark 필터링>

 

필터링 기능으로는 캡처 필터오 화면 필터가 있다. 

 

캡처 필터 : 캡처할 때 패킷 정보에 대해 미리 필터링을 거는 것 (패킷을 보낸 주소, 받은 주소, 프로토콜 정보 등)

화면 필터 : 캡처한 정보에 대해 필터링을 거는 것

 

아래는 자주 쓰이는 필터링 식이다. 

 

ip.addr == “IP address”   # 출발지나 목적지 MAC 주소 검색

eth.addr == “MAC address”  # 출발지나 목적지 IP주소로 검색

tcp.port == “port number” # TCP 출발지나 목적지 포트 번호로 검색

ip.src != “IP address”  # 출발지 IP주소가 해당 IP주소가 아닌 것을 검색

eth.dst == “MAC address“ # 목적지 MAC 주소 검색

 


패킷의 정보를 세션별로 조립해서 내용을 볼 수 있는데 이를 stream이라고 하고, TCP Stream 등이 있다. 
출처: https://nevertrustbrutus.tistory.com/172 [FU11M00N]

 

 

자세한 설명법은 아래 블로그를 보고 참고하였다. 

https://jeong-pro.tistory.com/155 

 

필터링 참고 블로그 

https://ggamzang.tistory.com/414

https://citizen.tistory.com/m/8?category=121495 

 

찾아봤는데 이더넷이 안 나와서 다시 재설치를 해봐도 나오지 않아서 Wifi를 눌러봤더니 다행히 결과가 잘 나옴을 확인할 수 있었다.  

 

 

L1
Q.  ARP_Spoofing에  의해서  나의  아이디와  패스워드가  유출됐다! 
**  key  is  AttackerMacaddress_VictimPassword

 

먼저 문제에서 ARP가 나와서 arp로 필터링을 해보니

그리고 해당 192.168.232.140이 00:0c:29:f3:21:ad에 있다는 것을 보고 

 

L2
Q. 남자들이  뼛속까지  좋아하는  여자는  누구?  DNA  연구  결과가  발표  되었다.  바코드를  찾아라! 
-> 바코드 스캐너 사용하기 

 

파일을 추출하는 부분에 있어서는 file의 export objects 중 HTTP에 들어가면 많은 리스트를 볼 수 있는데 그 중에서 아래와 같이 이미지 파일을 저장하면 바코드를 얻을 수 있었다. 

이를 바코드 리더기 사이트에 넣어보니, IU Good이란 문구를 얻을 수 있었다. 

 


L4 
Q.  우탱아,  가을인데  단풍놀이  가야지~  어디로  갈까?

 

마찬가지로 아까 있던 리스트를 다시 보다가 where_is_it이라는 이미지를 확인할 수 있었다. 

사진이 저장되어 있다. 사진의 위치를 찾아보니 한라산이라고 한다. 

'Hacking & Security > Digital Forensic' 카테고리의 다른 글

[디지털 포렌식] 6주차  (0) 2022.05.31
[포렌식 5주차]  (0) 2022.05.25
[디지털 포렌식] 4주차 : 파일 시스템 기초  (1) 2022.05.17
[디지털포렌식] 2주차 네트워크  (0) 2022.05.04
[디지털 포렌식] 1주차 : 기초 암호학  (0) 2022.04.05

관련글

티스토리툴바