[Defcon 21 Network Forensics Puzzle Contest] Round1 writeup

[Round1]

DEFCON 2013 Network Forensics Puzzle Contest: An Affair to Remember

Having accepted the Jensen case, Jack and his team install network taps and wireless capture devices in Mr. Jensen's business and home. During monitoring, Jack and his team discover an interesting suspect, Betty. This could be the woman Mrs. Jensen fears her husband is having an affair with. Jack assigns you the forensic analyst to look further into the information capture. You learn that a meeting has been setup. 
Use the Round 1 packet capture in this folder to learn more about the case and answer the following question: 

1. What day of the week is the meeting scheduled for? 

MD5 CHECKSUM:

round1.pcap: 

d0c7ee4bd7b18d6dea1f35b09b39d4c8

Remember: 
You must answer the question in this round, in order to unlock the next round of the contest. 


Copyright 2013 LMG Security. All rights reserved.

문제를 읽어보면 둘이 언제 만나는지를 알아내야 한다는 것을 알 수 있다. 주어진 pcap파일 와이어샤크로 먼저 분석해보자.

.....굉장히 많은 패킷이 있다는 것을 알 수 있다. 정보를 좀 더 보기 쉽게 알려주는 networkminer로 한 번 살펴보자.

메세지 영역을 보면 여러 메세지가 보인다. 여기서도 정보를 알 수 있지만, 한 번에 보기위해 와이어 샤크에서 해당 패킷을 찾아보자.

Greg와 Betty가 주고 받은 메세지 내용들이 보인다. 그런데 Greg가 Betty에게 언제 만날 지 물은 뒤에 

와 같은 형식의 데이터가 보인다. 이와 같은 형식은 html로 인코딩된 형태인데, 이를 html 디코더로 디코딩해보면, 

다음과 같이 나온다. 따라서 Greg와 Betty가 Wednesday에 만난다는 것을 알 수 있다!

(저 패킷을 .eml 파열 형식으로 저장하면 메일형태로 열어 볼 수가 있다! )

피드백 : 처음에는 html로 인코딩되어 있는 지도 모르고 그 헥사 값을 일일이 HxD에 옮겨서 답을 알아냈었다 흐으ㅡ 그래도 html의 형태로 인코딩된 형태가 이제 어떻게 생겼는지 알게 되어 다행이다. ㅎ

해외에서는 보통 채팅을 IRC 프로토콜로 많이 사용한다고 한다. 이것을 이용해서 와이어샤크에서 패킷을 바로 찾을 수도 있다.