SANS’ın Forensic eğitmenleri güzel bir yarışma düzenliyor. Yarışmanın amacı Network Forensics’in önemi ve temelinin anlaşılması. Yarışmacılardan https://blogs.sans.org/computer-forensics/2009/08/19/network-forensics-puzzle-contest/ adresinden edinecekleri pcap dosyası içerisindeki IM görüşmeleri ve dosya transferinde geçen dosyayı kaydedilmiş trafik üzerinden çıkarıp göndermeleri isteniyor.
(Trafik dosyası içerisinde şirketten dışarıya sızdırılan bir ofis dosyası ve bazı konuşmalar var, aslında çoğumuzun başına gelen/gelebilecek türden bir olay)Aslında yapılacak işlem basit ama ara adımlarda kullanılacak araçlar ve detay kullanımlarının bilinmezse sonucu ortaya çıkarmak zor olacaktır.
Ekim/Kasim gibi Bilgi Üniversitesinde başlatacağımız Forensic eğitiminde benzeri bulmacalardan fazlasıyla karşılaşabilirsiniz, tabiki önce neyin nasıl yapıldığı anlatılacak sonra bulmaca kısımlarına geçilecek. Tıpkı Network pentest eğitimlerindeki CTF(Capture The Flag ) yarışmaları gibi.
1-2-3 tamam 4 ten emin değilim 5-6 ile ilgili tamamen kaybolmuş durumdayım :oP sanırım biraz daha ekmek yemem gerekecek… 🙂
Hmm. TCP/IP egitiminde adindan bahsettigim bir arac diger adimlar icin yardimci olacaktir:)
mrb hocam evidence.pacp dosyasını indirdim.
fakat burda söylenileni nasılyapacam.
(pcap dosyası içerisindeki IM görüşmeleri ve dosya transferinde geçen dosyayı kaydedilmiş trafik üzerinden çıkarıp göndermeleri isteniyor.)
biraz yardımcı oalbilrmisiniz..
Kaydedilmis dosya icerisinden orjninal verileri elde etmenin çeşitli yöntemleri vardır. Blogda data carvign olarak aratirsaniz ufak bir iki yazi cikacaktir.
Oncelikle wireshark ile calismaniz size ilk uc adimi bulduracaktir.
hocam bi şeyler yaptım ama bi bakarsanız doğru mu yanıtlar?
1-Sec558user1
2-thanks dude
3-recipe.docx
4-PK
5-(dosyayı çıkartamadım)
6-Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go
hele şükür dosyayı çıkardım.
md5:8350582774e1d4dbe1d61d64c89e0ea1
Recipe for Disaster:
1 serving
Ingredients:
4 cups sugar
2 cups water
In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.
Dosyayı çıkaramayan arkadaşlara:
docx dosyası compound bir dosyadır yani dosya ve klasörlerden oluşur. Burada dosyanın header bilgisi PK ile başlar.Dosya transferinin yer aldığı paketleri ki sanırım FileXfe programı ile gönderilmiş. 158–>159 ip ye filtreleyip paketi raw modda farklı kaydedip hex ile açtım ve ilk PK’ ya kadar silip bu sefer docx uzantılı kaydettim. Sonra malum md5 özetini çıkardım.
Aslında docx dosyasını elle ayıklamak yerine kullanılacak çok güzel araçlar var.
tcpflow ile bir tcp session’i içindeki bütün verileri (continuous packet’leri) tek bir dosyaya toplayın, daha sonra da foremost ile bu binary veriyi ayıklayın, çıkacak zip dosyasının uzantısını zip’ten docx’e çevirin.
Bu kadar.
Dosyaların header bilgisi her tr dosya için aynı olsa gerek değil mi? zip dosyası için denedim yine PK yı gördüm..
@ilker: her tr dosya için derken ne demek istedin?
compound dosyaların uzantısı PK (Phil Katz )ile başlar. Bu dosyaları zaten winzip veya winrar ile açabilirsin. docx dosyayı winzip veya winrar ile bir açmayı dene.
Her “tür” demek istemiştim :o) Peki diğer tür dosyaların uzantıları ile ilgili bir standard varmıdır, acaba bir kaynak önerebilir misiniz?
bu sitede bir çok dosyanın başlık bilgisi dediğimiz “file signature” ya da “magic number” ile bilgi bulabilirsin.
http://www.garykessler.net/library/file_sigs.html