이번 코드게이트에는 포렌식 분야가 없을 줄 알았는데, 한 문제가 출제 되었다는 것을 보고 잠깐 풀어 보았다.


역시 점수가 150점이어서 그런지 문제는 상당히 간단하였다. 문제는 역시 확장자가 제거 되어 있는 상태로 풀이자에게 주어진다. 해당 파일이 어떤 파일인지 보기 위해 file 명령으로 확인 해 보면 다음과 같이 data 파일이라고만 알려준다.



조금 더 정확히 알아보기 위해 헤더를 살펴보도록 하자.



Dumpcap 이란 문자열로 해당 파일은 패킷 캡쳐 파일이라는 것을 알 수 있다. 해당 파일은 분석하기 위해 와이어 샤크로 열어보면 다음과 같이 패킷 블록과 관련 된 오류를 출력하며 파일이 정상적으로 열리지 않는다.



오류에서 EPB 부분에 패킷 데이터 길이가 블록의 총 길이보다 크다고 하니 헥스 에디터로 간단히 찾아보면 다음과 같이 캡쳐 길이와 패킷 길이가 맞지 않는 것을 볼 수 있다.



패킷 길이와 캡처 길이를 동일하게 맞추어 수정해 주고 패킷 분석 도구로 읽어보면 다음과 같이 정상적으로 열린다.



패킷 캡쳐 파일 내부에 어떤 파일들이 있는지 확인하여 보면 다음과 같은 파일들이 존재하고, 파일 하나씩 확인 해 보면 키 값을 확인 할 수 있다.








  1. fantas 2014.02.25 15:26

    저기 궁금한게 있는데 저 오류를 보시고 어디를 고치면 되는지 바로 알아내신거 같은데 와이어샤크 파일 주소값에 따른 정보?에 관한 글 같은게 있으신지요??

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2014.02.25 18:37 신고

      오류 문장을 보면 블록의 길이가 이것이어서 에러이다. 라고 나와 있으니 해당 값을 hex 값으로 변환한 후에 파일 포맷에서 지원하는 little endian으로 변경 해 raw 스트림 내에서 찾으면 됩니다 :-)

      그리고, 위 방법이 아니더라도 오류는 어디가 문제라는 것을 알려주는 것이기 때문에 해당 오류문만 잘 읽어보시면 에러가 난 부분을 쉽게 찾을 수 있습니다. 위 문제 같은 경우에는 EPB 부분에 에러가 났다는 것이구요 ㅎ

  2. - 2014.05.13 02:53

    다른건 알겟는데 저기 에러부분에서 EPB부분을 늘려주는 계산을 어떻게 했는지랑.. 저부분은 pcapng파일에서 어떻게 찾으셧는지가 궁금합니다...

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2014.05.13 08:38 신고

      두가지 모두 hex editor로 하시면 됩니다.

      EPB 부분은 구조를 보고 따라가시면 되요 :-)

+ Recent posts