Network forensic yarışması

forn

SANS’ın Forensic eğitmenleri güzel bir yarışma düzenliyor. Yarışmanın amacı Network Forensics’in önemi ve temelinin anlaşılması. Yarışmacılardan https://blogs.sans.org/computer-forensics/2009/08/19/network-forensics-puzzle-contest/ adresinden edinecekleri pcap dosyası içerisindeki IM görüşmeleri ve dosya transferinde geçen dosyayı kaydedilmiş trafik üzerinden çıkarıp göndermeleri isteniyor.

(Trafik dosyası içerisinde şirketten dışarıya sızdırılan bir ofis dosyası ve bazı konuşmalar var, aslında çoğumuzun başına gelen/gelebilecek türden bir olay)Aslında yapılacak işlem basit ama ara adımlarda kullanılacak araçlar ve detay kullanımlarının bilinmezse sonucu ortaya çıkarmak zor olacaktır.

Ekim/Kasim gibi Bilgi Üniversitesinde başlatacağımız Forensic eğitiminde benzeri bulmacalardan fazlasıyla karşılaşabilirsiniz, tabiki önce neyin nasıl yapıldığı anlatılacak sonra bulmaca kısımlarına geçilecek. Tıpkı Network pentest eğitimlerindeki CTF(Capture The Flag ) yarışmaları gibi.

This entry was posted in Forensic, Sniffer and tagged . Bookmark the permalink.

12 Responses to Network forensic yarışması

  1. ilker says:

    1-2-3 tamam 4 ten emin değilim 5-6 ile ilgili tamamen kaybolmuş durumdayım :oP sanırım biraz daha ekmek yemem gerekecek… 🙂

  2. admin says:

    Hmm. TCP/IP egitiminde adindan bahsettigim bir arac diger adimlar icin yardimci olacaktir:)

  3. Kemal says:

    mrb hocam evidence.pacp dosyasını indirdim.
    fakat burda söylenileni nasılyapacam.

    (pcap dosyası içerisindeki IM görüşmeleri ve dosya transferinde geçen dosyayı kaydedilmiş trafik üzerinden çıkarıp göndermeleri isteniyor.)

    biraz yardımcı oalbilrmisiniz..

  4. admin says:

    Kaydedilmis dosya icerisinden orjninal verileri elde etmenin çeşitli yöntemleri vardır. Blogda data carvign olarak aratirsaniz ufak bir iki yazi cikacaktir.

    Oncelikle wireshark ile calismaniz size ilk uc adimi bulduracaktir.

  5. Caner says:

    hocam bi şeyler yaptım ama bi bakarsanız doğru mu yanıtlar?

    1-Sec558user1
    2-thanks dude
    3-recipe.docx
    4-PK
    5-(dosyayı çıkartamadım)
    6-Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go

  6. Caner says:

    hele şükür dosyayı çıkardım.
    md5:8350582774e1d4dbe1d61d64c89e0ea1

    Recipe for Disaster:

    1 serving

    Ingredients:

    4 cups sugar

    2 cups water

    In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.

  7. Caner says:

    Dosyayı çıkaramayan arkadaşlara:
    docx dosyası compound bir dosyadır yani dosya ve klasörlerden oluşur. Burada dosyanın header bilgisi PK ile başlar.Dosya transferinin yer aldığı paketleri ki sanırım FileXfe programı ile gönderilmiş. 158–>159 ip ye filtreleyip paketi raw modda farklı kaydedip hex ile açtım ve ilk PK’ ya kadar silip bu sefer docx uzantılı kaydettim. Sonra malum md5 özetini çıkardım.

  8. Necati Demir says:

    Aslında docx dosyasını elle ayıklamak yerine kullanılacak çok güzel araçlar var.

    tcpflow ile bir tcp session’i içindeki bütün verileri (continuous packet’leri) tek bir dosyaya toplayın, daha sonra da foremost ile bu binary veriyi ayıklayın, çıkacak zip dosyasının uzantısını zip’ten docx’e çevirin.

    Bu kadar.

  9. ilker says:

    Dosyaların header bilgisi her tr dosya için aynı olsa gerek değil mi? zip dosyası için denedim yine PK yı gördüm..

  10. Caner says:

    @ilker: her tr dosya için derken ne demek istedin?
    compound dosyaların uzantısı PK (Phil Katz )ile başlar. Bu dosyaları zaten winzip veya winrar ile açabilirsin. docx dosyayı winzip veya winrar ile bir açmayı dene.

  11. ilker says:

    Her “tür” demek istemiştim :o) Peki diğer tür dosyaların uzantıları ile ilgili bir standard varmıdır, acaba bir kaynak önerebilir misiniz?

  12. Caner says:

    bu sitede bir çok dosyanın başlık bilgisi dediğimiz “file signature” ya da “magic number” ile bilgi bulabilirsin.
    http://www.garykessler.net/library/file_sigs.html

Leave a Reply

Your email address will not be published. Required fields are marked *

three × 5 =