DigitalForensicCTF - Network - DefCoN#21#3

 

NetworkMiner로 보면 위와같은 화면을 볼 수 있다.

mms-message는 mms란 말이 중요한데

글자 위주의 단문 메시지 서비스에서 발전하여, 사진, 소리, 동영상 등의 메시지를 만들어 보내는 방식.

이라고 한다.

 

그러므로 mms를 보았을때 사진, 소리, 동영상을 보냈다는 것을 유추할 수 있어야 한다고 한다.

그래서 mp4란 파일을 보냈다고 생각하고 mp4의 파일시그니처를 찾아보면된다.

일단 Miner를 보면 187프레임이 문제의 프레임이니 와이어 샤크에서도 No.187번을 TCP Stream해서 보았다.

위와같이 나올텐데 이걸 RAW로 바꿔서 카빙한다.

그리고 카빙한곳에서 시그니처를 찾고 그 아래 부분을 다 복사해서 mp4 파일을 하나 만들면 16초정도의 영상이 나오는데

마지막에 답이 나온다.