저는 아직도 배워야 하는게 많은 것같습니다 ㅠㅠ
2014 Codegate Forensic 150
파일 크기가 작길래 쉬운 포렌식인 줄알고 파일을 까보았으나....
이런 것이 뜹니다.
해석해보면 패킷데이타는 총 4270407998인데, 블럭의 총길이보다 크다~ 라는 군요
아무래도 손상된 모양입니다. 헥스에디터로 열어보도록하죠
4270407998은 hex값으로 0xFE89413E이므로 Ctrl+F를 통해 찾아봅시다.
보통 파일에서는 리틀엔디안이 적용되므로 hxd에서 검색할 때, 3E4189FE로 검색해야 될겁니다.
찾았네요. 하지만 저는 이값이 어떻게 변해야되지 몰랐습니다. 그래서 검색해보니
지금 저 4칸이 패킷길이고, 오른쪽 4칸이 캡쳐길이라더군요 이 두개가 맞아야 와이어 샤크가 제대로 패킷파일을 해석 할 수 있다고 합니다.
그러므로 저 값을 오른쪽과 같이 바꿔주면 되겠군요!
이렇게 바꾸고 저장하면....
성공적으로 열렸습니다!
http 패킷들이 보이므로 http패킷에서 파일을 추출하도록 하죠
수상한 pdf가 보이네요 열어보면!
성공 @~@
'포렌식 관련(네트워크 포함)' 카테고리의 다른 글
| codegate 2018 miro (0) | 2018.02.08 |
|---|---|
| 2013 Codegate Forensic 100 (0) | 2017.12.12 |
WRITTEN BY
- Dukup11ch1
무근본, 실력 0, 아는척하기위한 블로그. 저는 귀엽습니다
,
