hacking case #26, pattern matching using grep (keyword search)
https://www.cfreds.nist.gov/Hacking_Case.html
http://network-forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html
http://bahndal.egloos.com/586095 "[bash: grep] 바이너리 파일에서 16진수(hex) 데이터 검색하기"
#26. Search for the main users web based email address. What is it?
grep regular expression for email address
$ grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" filename.txt
여기서 \b 는 공백을 의미하는데, 공백이 없도록 검색하는 것이 미탐의 확률을 줄인다.
"[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}"
"\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" 가 미탐을 줄이기에 경험적으로 가장 좋다.
grep [옵션] [문자열] [탐색할 파일] > [결과파일]
grep 옵션 설명
-E : regular expression
-I(대문자 i) : binary file 무시
-i : 대소문자 무시
-r : 현재 input path 의 하위 디렉토리까지 탐색
-o : 매칭된 문자열만을 출력(default : 매칭된 문자열이 있는 행을 출력)
-h : 파일명을 표시하지 않음
-l(소문자 L) : 파일명만 표시
-a : binary file 처리
email.file.txt : 파일명, 매칭된 문자열이 있는 행
email.file_2.txt : 파일명, 매칭된 문자열
email.file_3.txt : 파일명
email.file.txt[email.file.txt]
[email.file_2.txt]
[email.file_3.txt]
※ web based email address 이므로, Documents and Settings/Mr. Evil/Local Settings/Temporary Internet Files/Content.IE5/ 경로에서 발견된 이메일 주소를 기반으로 재분석한다.
총 75개의 주소가 나타나고, 이중 가장 많이 나타난 이메일 주소는 mrevilrulez@yahoo.com 이므로, 이것이 혐의자의 web based email address 라 할 수 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #28~30, Recycle Bin in WinXP (INFO2) (0) | 2019.02.10 |
|---|---|
| hacking case #27, yahoo email artifacts (0) | 2019.02.10 |
| hacking case #23~25 network packet analysis (0) | 2019.02.08 |
| hacking case #21,22 mIRC artifacts (0) | 2019.02.08 |
| hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |
hacking case #23~25 network packet analysis
https://www.cfreds.nist.gov/Hacking_Case.html
https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html
https://www.wireshark.org/docs/dfref/h/http.html
http://network-forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html
#23. Ethereal, a popular “sniffing” program that can be used to intercept wired and wireless internet packets was also found to be installed. When TCP packets are collected and re-assembled, the default save directory is that users \My Documents directory. What is the name of the file that contains the intercepted data?
#24. Viewing the file in a text format reveals much information about who and what was intercepted. What type of wireless computer was the victim (person who had his internet surfing recorded) using?
1. wireshark 를 이용하여 해당 파일을 열고, http 패킷의 user-agent 영역을 분석한다.
2. tshark 로 결과 파일 뽑아내기
$ tshark -R http.user_agent -Tfields -e http.user_agent -r interception
#25. What websites was the victim accessing?
1. wireshark 를 이용하여 해당 파일을 열고, http 패킷의 host 영역을 분석한다.
2. tshark 로 결과 파일 뽑아내기
$ tshark -R http.host -Tfields -e http.host -r interception | sort -u (정렬 후 중복제거)
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #27, yahoo email artifacts (0) | 2019.02.10 |
|---|---|
| hacking case #26, pattern matching using grep (keyword search) (0) | 2019.02.10 |
| hacking case #21,22 mIRC artifacts (0) | 2019.02.08 |
| hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |
| hacking case #19, pattern matching using grep (0) | 2019.02.08 |
hacking case #21,22 mIRC artifacts
https://www.cfreds.nist.gov/Hacking_Case.html
#21. A popular IRC (Internet Relay Chat) program called MIRC was installed. What are the user settings that was shown when the user was online and in a chat channel?
환경설정 파일인 ini 파일들을 추출하여 분석할 결과, 다음과 같이 mirc.ini 파일에서 user settings 관련 흔적을 찾을 수 있었다.
# 22. This IRC program has the capability to log chat sessions. List 3 IRC channels that the user of this computer accessed
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #26, pattern matching using grep (keyword search) (0) | 2019.02.10 |
|---|---|
| hacking case #23~25 network packet analysis (0) | 2019.02.08 |
| hacking case #20, outlook express artifacts in WinXP (0) | 2019.02.08 |
| hacking case #19, pattern matching using grep (0) | 2019.02.08 |
| hacking case #17,18 email account & news server (0) | 2019.02.04 |
