wireshark를 통해 패킷분석

 

 

Tcp Flag 

32 16 8 4 2 1

U  A  P R S F         FIN부터 1 2 4 8 16 32 이런식으로 계산

 

tcp.flags == 0x02  -> SYN 패킷

tcp.flags == 0x12 -> SYN ACK패킷       12를   10진수로 변환 18

tcp.flags == 0x10  -> ACK패킷    10을 10진수로 변환 16

 

Mac주소표시

eth.addr 로 필터링해야 된다.

 

아래에 필터링 방법이 적혀있으므로, 외울 필요 없다.

 

 

 

 

NetworkMiner를 사용해서 분석

패킷을 자동으로 분석해준다.

 

TrueCrypt 

파일 내부나 디스크를 암호화하는 프로그램

 

 

VoIP 프로토콜

- 전화 연결/종료에 필요한 메시지를 전송하는 프로토콜

- SIP, SCCP , MGCP, H.323

RTP 프로토콜

- 실시간 패킷/트래픽을 전송할 때 사용하는 프로토콜

- 음성 패킷 전송때 사용

- UDP 포트번호(16374~32767 중에 짝수 번호 예약)

'디지털 포렌식' 카테고리의 다른 글

파일시스템 포렌식  (0) 2019.07.29
윈도우 포렌식  (0) 2019.07.23
침해사고포렌식  (0) 2019.07.18
안티 포렌식  (0) 2019.07.11
디지털 포렌식 개요  (0) 2019.07.11

안티 포렌식

  • 디지털 포렌식을 방해하는 포렌식
  • 사용 흔적 삭제, 데이터 은닉, 데이터 암호화, 데이터 삭제
  • 분석 시간 방해, 증거 수집 방해                

문서파일

 

docx 압축파일 푸는 툴

7-ZIP을 통해 숨어있는 사진 찾기.

 

 

 

 

사진 폴더

 

 

사진 속에 들어있는 내용 찾기 (스테가노그래피)

 Stegsolve

https://29a.ch/photo-forensics/#forensic-magnifier

 

Forensically, free online photo forensics tools

Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more.

29a.ch

Hxd를 통해 이미지 복구 아래 시그니쳐를 통해 복구가능.

 

File Type  Header Signature  Footer Signature  Description
 ICO  00 00 01 00   –  Windows Icon Format
 CUR   00 00 02 00   –  Windows Cursor Format
 BMP, DIB  42 4D 
 B  M		  –  Windows Bitmap Format
 GIF  47 49 46 38 37 61 
 G   I  F   8   7  a		  00 3B
      ;		  Graphics Interchange Format
 GIF  47 49 46 38 39 61
 G   I  F   8   9  a		  00 3B
      ;		  Graphics Interchange Format
 TIF, TIFF  49 49 2A 
  I   I   *		  –  Tagged Image File Format (little endian)
 TIF, TIFF  4D 4D 2A 
 M  M  *		  –  Tagged Image File Format (big endian)
 PNG  89 50 4E 47 0D 0A 1A 0A
     P  N  G		  49 45 4E 44 AE 42 60 82
  I   E  N  D       B   `		  Portable Network Graphics Format
 JPEG/JFIF  FF D8 FF E0 xx xx 
 4A 46 49 46		  FF D9  JPEG/JFIF Format
 JPEG/EXIF  FF D8 FF E8 xx xx
 45 78 69 66		  FF D9  JPEG/Exif Format – Digital Camera  
 Exchangeable File Format
 WMF  D7 CD C6 9A  –  Windows Metafile Format
 EMF  01 00 00 00  –  Extended(Enhanced) Windows Metafile 
 Format Printer Spool File
 EPS  25 21 50 53 2D 41 64 6F 
 %  !   P  S  –   A  d  o 
 62 65 2D 
  b  e  –		  25 25 54 72 61 69 6C 65 72 
 %  % T   r   a   i   l   e   r
 0A
 (presumption)		  Adobe Encapsulated PostS

PDF  25 50 44 46 2D 31 2E         25 25 45 4F 46

MP3 49 44 33 03 (ID3)      offset 0x161B0

WAV 52 49 46 46(RIFF)  offset 0x118280

 

SmartDebulr

흐릿한 사진을 선명하게 바꿔주는 툴

 

malbolge로 만들어진 이미지를 해석해주는 사이트

https://www.bertnase.de/npiet/npiet-execute.php

base64로 암호화된 값을 얻는다.

 

말레볼제로 이루어진 값을 얻는데 

http://www.malbolge.doleczek.pl/ 이사이트에서 해독하면 된다.

 

OpenStego

사진안에 값을 넣을 수 있는 툴.

Open3D Model Viewer

3d사진에 숨겨있는 텍스트 찾을 때 쓰는 툴

 

sift3 리눅스 //우분투계열   포렌식툴이 많이 들어 있는 리눅스

 

forevid 

영상 프레임단위로 볼 수 있는 툴

이미지를 프레임단위로 끊어서 저장됨.

 

audacity

오디오에 숨겨진 내용을 찾는 툴

사운드 분석 툴

사람의 주파수는 2만Hz까지 들을 수 있는데 그위에다가 내용을 넣는 기법을 분석할 수있다.

 

 

또 다른 방법으로 모스부호를 표현할 수 도 있다.

 

이런식으로 검색하면 whoami에 대한 다운파일들이 나온다.

intitle: "index.of" intext:"whoami"

 

 

PDF에서 오디오파일 찾기.

MP3 49 44 33 03 (ID3)      offset 0x161B0

WAV 52 49 46 46(RIFF)  offset 0x118280

 

52 49 46 46 부분부터 맨 마지막까지 복사해서 새로 파일을 만들고

이름.wav로 저장하면 오디오파일이 생김.

 

만든 수정.wav파일을 audacity에 넣고 트랙 분할.

음악파일에 나오는 노래와 무관하게 건반음이 나오는 것을 확인

http://rumkin.com/tools/cipher/baconian.php 

 

Baconian Cipher

Francis Bacon created this method of hiding one message within another. It is not a true cipher, but just a way to conceal your secret text within plain sight. The way it originally worked is that the writer would use two different typefaces. One would be

rumkin.com

높은 음 : 1, B

낮은 음 : 0, A

 

실행시켜서 위의 공식에따라 2진수로 변환해 입력.

평문으로 변환해서 출력 된다.

http://dialabc.com/sound/detect/

 

Detect DTMF Tones

Detect DTMF Tones DialABC lets you find DTMF tones within audio clips. All you have to do is to upload an audio file to the dialabc web site using the form below. Our software then analyzes the audio recording and presents you with some statistics, a graph

dialabc.com

다이얼 음을 올려주면 알아서 몇번인지 해석해 준다.

하지만 몇번 눌렀는지는 나오지 않는다. 따라서 audacity를 통해 몇번 눌렀는지 확인

8 44 33 0 333 555 2 ~~
나온 숫자를 영어에 대입해 값을 찾는다.

 

'디지털 포렌식' 카테고리의 다른 글

파일시스템 포렌식  (0) 2019.07.29
윈도우 포렌식  (0) 2019.07.23
침해사고포렌식  (0) 2019.07.18
네트워크 포렌식  (0) 2019.07.15
디지털 포렌식 개요  (0) 2019.07.11

디지털 포렌식

 디지털 매체에 저장되어 있는 범죄와 관련된 증거 수집 -> 분석

 -> 과정 및 결과 보고서 작성 -> 법정 제출

 

아티팩트

- 운영체제, 응용 프로그램에 의해서 생성된 흔적 -> 디지털 포렌식 증거로 사용됨

 

디지털 포렌식 5대 원칙

  • 신속성
  • 무결성
  • 연계보관성
  • 정당성
  • 재현성                 

 

 

 

'디지털 포렌식' 카테고리의 다른 글

파일시스템 포렌식  (0) 2019.07.29
윈도우 포렌식  (0) 2019.07.23
침해사고포렌식  (0) 2019.07.18
네트워크 포렌식  (0) 2019.07.15
안티 포렌식  (0) 2019.07.11

+ Recent posts

티스토리툴바