[디지털 포렌식] DefCon#21 #Round2

# 2

그레고리와 만남의 장소를 정할 때 그녀의 궤도를 계속 지킬 수 있습니다. 이 폴더에있는 Round 2 패킷 캡처를 사용하여 다음 질문에 답하십시오.

 

#. 그들은 어떤 도시에서 만납니까?

hint : Message + File Carving + .tc

 

round1과 마찬가지로  Betty와 Gregory가 서로 대화를 나눌 것이니 IRC 프로토콜 찾기

IRC 검색

마우스 우클릭 -> TCP 스트림

찾아봐도 딱히 단서가 나오지 않는 것을 볼 수 있다

-> NetworkMiner을 사용해 단서를 찾을 것

 

 

NetworkMiner에 round2.pcap을 드래그해 넣어준다

Messages를 클릭해 둘이 나눈 대화가 뭔지 보인다

 

위 메세지를 읽어보면 비밀번호가 S3cr3tVV34p0n인것을 알 수있다

마지막엔
DCC SEND r3nd3zv0us 2887582002 1024 819200
이런 내용이 있으며

DCC SEND의 기본적인 구성은 DCC SEND <file name> <ip> <port> <file size> 이다

 

다시 와이어샤크로 돌아와 파란 부분만 선택해준후 Raw형식으로 변경해준 후 R2.tc로 저장

 

 

생성된 R2.tc를 TrueCrypt에 넣어서 마운트 해주기

로컬 디스크 (N:)에 생성된 것을 확인할 수 있다

Betty와 Gregory가 만나는 도시는 LAS VEGAS!!

정답 : LAS VEGAS