일단 file명령어로 확인해보니
여튼 이 GZip을 풀고나면 다시 hdcon.img라는 이미지파일이 있다.
이것을 FTK Imager로 열어보면
이같은 리눅스 파일시스템 구조를 볼 수 있다.
이제 여기서 해커의 비밀번호를 찾으면 될 것 같다.
/var/log 폴더에는 이미 비워져 있다.
/etc/syslog.conf 에는 리눅스 로그파일들의 경로를 담고 있다.
할당되지 않은 공간을 살펴보면 몇개의 파일들이 보이는데
43983파일을 살펴보면
wget으로 sniffit이라는 파일을 받아
/usr/local/lib/python2.6 에 perlxml이라는 파일명으로 sniffit을 이동한다.
그리고 이 perlxml을 실행하고 /var/log 를 삭제하는 명령어도 볼 수 있다.
대충 여기까지 보면 해커가 스니핑을 하여 패스워드를 가로챈 것으로 보인다.
그런데 /usr/local/lib/python2.6 이 경로로 가보면 perlxml이나 configx.py 같은 파일이 존재하지 않는다.
결국 할당되지 않은 공간에 존재하는 것 같다.
57224 파일을 살펴보면 시그니쳐가 0xd4c3b2a1 인 것을 볼 수 있다. 이 파일은 PCAP파일로, libpcap 포맷으로 패킷을 캡쳐한 파일로, Wireshark로 쉽게 확인할 수 있다.
그럼 57224에 pcap 확장자를 붙여서 Wireshark로 열어보자
TELNET 스트림을 보면 패스워드를 확인할 수 있다.
'WarGame > Forensics' 카테고리의 다른 글
| KISA 온라인 해킹방어 훈련장 - Forensic 5 범인의 이름을 찾아라! (0) | 2015.07.06 |
|---|---|
| KISA 온라인 해킹방어 훈련장 - Forensic 2 어디서 만날까? (0) | 2015.07.06 |
| xcz.kr - File Deleted Prob36 (0) | 2015.06.27 |
| xcz.kr - XCZ Company Hacking Incident Prob27 (0) | 2015.06.27 |
| xcz.kr - Memoryyyyy Dumpppppp Prob24 (0) | 2015.06.27 |
