오늘은 file Carving의 기초를 살짝 해볼 것이다.
* Network file Carving
- 파일 복구
: 깨진 파일을 복구하거나 삭제된 파일을 복구하는 것
- 헥스 에디터 (일반적으로 우리가 다루는 문자는 텍스트 에디터이다.)
: 16진수로 볼 수 있는 헥스 에디터이다.
: 무료툴에서는 HxD가 좋다.
아래의 덤프 패킷에서 이미지 파일을 추출해내는 것이다.
(패킷상황)
먼저 이미지 파일을 요청한 패킷을 찾는다.
(이미지 파일 요청)
그에 해당하는 응답 패킷을 찾는다.
(응답 패킷)
이 패킷안에 이미지 파일이 들어있다.
Follow Stream해서 확인해보면
(패킷 내용)
이상한 글씨들로 써있다.
이유는 헥사 데이터들인데 이 값이 유니코드로 표현이 되다보니
정체불명의 글자들이 나오는 것이다.
여기서 헥사 데이터로 가져갈 것이다.
(저장)
(저장)
(저장 파일)
이 파일을 메모장에서 열어보면
아래와 같다.
(덤프 파일)
이 파일을 텍스트 에디터가 아닌
헥스 에디터로 열어볼 것이다.
헥스 에디터로 HxD를 쓸것이다.
HxD 검색으로 홈페이지에 들어가서 다운로드를 누른다.
(다운로드 클릭)
(한국어 버젼 클릭)
한국어 버젼을 받는다.
다운 받고 설치후 열어보면 아래와 같다.
(실행 화면)
여기에 아까 저장한 파일을 열어보겠다.
(img 파일 오픈)
헥스 데이터로 나온다.
하지만 GET부터 헤더내용 까지 들어있으므로
이미지 파일의 데이터만 뽑아 오겠다.
와이어샤크에서
이미지 파일을 헥스스트림으로 복사한다.
(헥스스트림 복사)
(이미지 파일)
이미지 파일을 열어보면 위와 같다.
맨 앞에 적혀있는 것이 파일 시그니쳐이다.
* 파일 시그니쳐( File Signiture )
- 파일의 종류를 나타내는 고유값
- 맨앞에 써있다.
- 시그니쳐가 잘못되면 열리지 않는다.
- 시그니쳐를 속일수는 없다.(반면 확장자는 속일 수 있다.)
- 윈도우즈의 실행파일(exe) : MZ
- 압축파일(zip) : PK
- 이미지파일(jpg) : 0xFF 0xD8 0xFF 0xE0 (문자로 표현은 안된다.)
- 텍스트파일(txt) : 시그니쳐가 없다. (한글,워드는 텍스트 파일이 아니다.)
-> 버전에 따라 조금씩 다를 수 있다.
실행파일을 헥스에디터로 열어보겠다.
(실행파일 MZ)
여기서 아까 열었던 이미지 파일을 jpg로 저장해준다.
(저장)
(이미지파일)
이미지 파일이 생겼다.
열어보면
(이미지)
이미지가 나오는 것을 확인할 수 있다.
또 다른 방법이 있다.
파일에서 Export Object에서 HTTP를 클릭한다.
(Export Object에서 HTTP를 클릭)
(이미지파일 저장)
여기에는 주고받은 HTTP로 주고받은 내용이 나오는데
이미지를 클릭하고 저장을 누른다.
(이미지 저장)
(이미지 파일)
그렇게 되면 이미지를 와이어샤크 패킷에서 뽑아 볼 수 있다.
-----------------------------------------------------------------------------------------------
패킷분석
문제 9
악성코드에 감염된 페이지를 찾고
무엇을 하려는지 찾아내기.
(패킷 상황)
(http 패킷 필터링)
http 패킷중 이상한 패킷이 있다.
데이터 내용을 보면
(스크립트)
이상한 스크립트를 숨겨 놓은 것을 찾을 수 있다.
이 스크립트를 메모장으로 복사해서 보니
(스크립트)
알아보기 힘든 ... 코드다.. 바로 이것이 난독화!
-> 난독화기법
: 읽기 어렵게 만든것이다. 변수 이름도 이상한걸로 해놓은 것이다.
: 분석을 어렵게 만드는 것이다.
난독화코드로 악성코드를 심어놓은 해커가 이 코드가 무엇이 동작하는지 모르도록
의도한 것이다.
-----------------------------------------------------------------------------------------------
실습
attack.pcap
1. 공격 유형을 파악하시오.
2. 공격자와 피해자는 누구인가?
(attack.pcap)
Conversation을 들어가보니
공격 유형을 확인할 수 있었다.
(포트 스캔)
포트스캔이다!
그런데 좀 이상한 부분이 있다.
바로 이상한 HTTP요청들이 있었는데
(이상한 요청)
(의심스러운 요청)
이러한 요청들은 acunetix라는 취약점분석 프로그램에 의한 것이다.
그 증거는 맨 위에 acunetix라고 써있다.
즉 아래의 공격 뿐 아니라 포트 스캔도 이 프로그램으로 이루어진
자동화된 공격이라고 생각할 수 있다.
1. 공격 유형을 파악하시오.
- Port Scan
2. 공격자와 피해자는 누구인가?
- 공격자 : 192.168.0.112
- 피해자 : 65.61.137.117
-> 자동화된 점검툴(취약점점검툴) 이용
'Hacking > Network Hacking' 카테고리의 다른 글
| Network Hacking - Nessus(스캔) (0) | 2017.02.02 |
|---|---|
| Network Hacking - Wireshark 트래픽 분석 (0) | 2017.02.01 |
| Network Hacking - HTTP 헤더 취약점 분석 (0) | 2017.01.25 |
| Network Hacking - HTTP (request-line, status-line) (0) | 2017.01.23 |
| Network Hacking - FTP (File Transfer Protocol) (0) | 2017.01.21 |