[DigitalForensic with CTF] Network - DefCoN#21 #3

문제 파일로는 .pcap 파일 하나가 주어졌다.
Gregory가 어떻게 죽임당하는지를 알아내야하는 문제이다.
문제에서는 Gregory가 전화벨을 듣고 나서 Betty와 만날 수 밖에 없다는 것을 알게되었는데, 이를 생각해보면 문제의 방법은 음성 파일과 같은 형식으로부터 알아낼 수 있을 것이라고 추측된다.

그래서 혹시 이 문제 파일에 그러한 파일이 존재할지를 찾아보고자 [Protocol Hierarchy Statistics]로 패킷을 분석한 결과 MMS 관련 파일이 통신에 사용된 것을 확인하였다. 이를 마우스 우클릭으로 필터적용시켜 관련 패킷들이 어떠한 것인지를 살펴보면 MP4 패킷을 찾을 수 있다.

 

이 패킷의 TCP Stream을 따라가보면 실제로 mp4 파일이 있는 것을 알 수 있고, 이 mp4 파일 안에 단서가 있을 것으로 추측된다.

MP4 파일만을 카빙해내기 위해 이 패킷을 별도로 저장한다.
MP4 파일을 카빙해낸 후 이를 직접 재생해봐야 하기 때문에 raw 형식으로 저장하도록 한다.

파일의 raw를 편집할 수 있는 HxD를 열어 MP4 파일의 시그니처를 찾는다.
MP4 file Signature : 00 00 00 18 66 74 79 70

파일을 MP4 파일인것처럼 만들기 위해 이 Signature 이전에 존재하는 모든 데이터를 지운다.
그 후 확장자를 MP4로 바꿔주면 방금 전 파일이 MP4 파일로 인식되면서 재생할 수 있는 동영상으로 바뀐다.

이를 재생시켜보면 주인공이 어떻게 죽임당할 수 있는지에 대해 알 수 있게 된다.