hacking case #26, pattern matching using grep (keyword search)
https://www.cfreds.nist.gov/Hacking_Case.html
http://network-forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html
http://bahndal.egloos.com/586095 "[bash: grep] 바이너리 파일에서 16진수(hex) 데이터 검색하기"
#26. Search for the main users web based email address. What is it?
grep regular expression for email address
$ grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" filename.txt
여기서 \b 는 공백을 의미하는데, 공백이 없도록 검색하는 것이 미탐의 확률을 줄인다.
"[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}"
"\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" 가 미탐을 줄이기에 경험적으로 가장 좋다.
grep [옵션] [문자열] [탐색할 파일] > [결과파일]
grep 옵션 설명
-E : regular expression
-I(대문자 i) : binary file 무시
-i : 대소문자 무시
-r : 현재 input path 의 하위 디렉토리까지 탐색
-o : 매칭된 문자열만을 출력(default : 매칭된 문자열이 있는 행을 출력)
-h : 파일명을 표시하지 않음
-l(소문자 L) : 파일명만 표시
-a : binary file 처리
email.file.txt : 파일명, 매칭된 문자열이 있는 행
email.file_2.txt : 파일명, 매칭된 문자열
email.file_3.txt : 파일명
[email.file.txt]
[email.file_2.txt]
[email.file_3.txt]
※ web based email address 이므로, Documents and Settings/Mr. Evil/Local Settings/Temporary Internet Files/Content.IE5/ 경로에서 발견된 이메일 주소를 기반으로 재분석한다.
총 75개의 주소가 나타나고, 이중 가장 많이 나타난 이메일 주소는 mrevilrulez@yahoo.com 이므로, 이것이 혐의자의 web based email address 라 할 수 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
hacking case #28~30, Recycle Bin in WinXP (INFO2) (0) | 2019.02.10 |
---|---|
hacking case #27, yahoo email artifacts (0) | 2019.02.10 |
hacking case #23~25 network packet analysis (0) | 2019.02.08 |
hacking case #21,22 mIRC artifacts (0) | 2019.02.08 |
hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |