CodeGate 2014 Forensic 150 Write up

이번 코드게이트에는 포렌식 분야가 없을 줄 알았는데, 한 문제가 출제 되었다는 것을 보고 잠깐 풀어 보았다.

역시 점수가 150점이어서 그런지 문제는 상당히 간단하였다. 문제는 역시 확장자가 제거 되어 있는 상태로 풀이자에게 주어진다. 해당 파일이 어떤 파일인지 보기 위해 file 명령으로 확인 해 보면 다음과 같이 data 파일이라고만 알려준다.

조금 더 정확히 알아보기 위해 헤더를 살펴보도록 하자.

Dumpcap 이란 문자열로 해당 파일은 패킷 캡쳐 파일이라는 것을 알 수 있다. 해당 파일은 분석하기 위해 와이어 샤크로 열어보면 다음과 같이 패킷 블록과 관련 된 오류를 출력하며 파일이 정상적으로 열리지 않는다.

오류에서 EPB 부분에 패킷 데이터 길이가 블록의 총 길이보다 크다고 하니 헥스 에디터로 간단히 찾아보면 다음과 같이 캡쳐 길이와 패킷 길이가 맞지 않는 것을 볼 수 있다.

패킷 길이와 캡처 길이를 동일하게 맞추어 수정해 주고 패킷 분석 도구로 읽어보면 다음과 같이 정상적으로 열린다.

패킷 캡쳐 파일 내부에 어떤 파일들이 있는지 확인하여 보면 다음과 같은 파일들이 존재하고, 파일 하나씩 확인 해 보면 키 값을 확인 할 수 있다.