웹/Network forensics (3) 썸네일형 리스트형 Puzzle #6: Ann's Aurora Vick Timmes의 원래 웹 요청의 전체 URI는?(포트 포함) 정답 : http://10.10.10.10:8080/index.php 이에 대응해 악성 웹서버는 JavaScript 보냈다.이 코드의 시작 부분 근처에 공격자가 "COMMENT"라고 표시된 1300개의 요소가 있는 배열을 만든 다음 데이터 요소에 문자열을 채웠다.이 문자열의 값은? 정답 : "vEI" Vick컴퓨터는 객체에 요청 2개 보냈다.a. 요청된 객체의 파일 이름?b. 반환된 객체의 MD5sum? 요청 2개 a 정답 : index.phpmfKSxSANkeTeNrah.gif 2번째로 10.10.10.10에 반환된 파일을 Raw로 저장해 "GIF"앞 문자열을 다 잘라낸다. b 정답 : df3e567d6f16d040326c7a0ea29.. Puzzle #5: Ms. Moneymany's Mysterious Malware Moneymany의 브라우저가 다운로드한 .jar파일 2개는? filter : http 정답 : q.jar, sdfg.jar 감염된 windows 시스템에서 Moneymany의 사용자이름은? 정답 : ADMINISTRATOR Moneymany가 처음 클릭한 URL? 맨 처음 http통신을 클릭해보면 정답 : /nrtjo.eu/true.php Moneymany의 시스템을 감염시키는 Winodws 실행파일의 MD5해시는?힌트: "91ed"로 끝남 filter : Packet details - String - .exe 보낸 파일의 내용을 보면 실행 파일의 매직 넘버인 "MZ"가 보인다. hxd로 열어 "MZ"앞에 내용을 잘라버린 뒤 .exe확장자로 저장 해시 값 확인하면 정답 : 5942ba36cf732097.. Puzzle #1: Ann's Bad AIM 이전 1 다음
