[Puzzle #3 Ann's AppleTV]
http://forensicscontest.com/2009/12/28/anns-appletv
Ann’s AppleTV – Network Forensics Puzzle Contest
Ann and Mr. X have set up their new base of operations. While waiting for the extradition paperwork to go through, you and your team of investigators covertly monitor her activity. Recently, Ann got a brand new AppleTV, and configured it with the static IP
forensicscontest.com
* 시나리오
Ann과 X는 새로운 운영 기반을 구축했다. 범죄인 인도 서류가 통과되기를 기다리는 동안, 당신과 당신의 수사팀은 은밀하게 그녀의 활동을 감시한다.
최근에 Ann은 새로운 AppleTV를 확보하여 고정 IP 주소 192.168.1.10으로 구성했다.
당신은 법의학 수사관이다. 귀하의 임무는 앤이 무엇을 검색했는지, 그녀의 관심사에 대한 프로필을 작성하고, 다음을 포함한 증거를 복구하는 것이다.
* 문제
1. Ann's AppleTV의 MAC 주소는 무엇입니까?
2. Ann's AppleTV는 HTTP 요청에 어떤 User-Agent 문자열을 사용 했습니까?
3. AppleTV에서 Ann의 처음 네 개의 검색어는 무엇입니까? (all incremental searches count)
4. Ann이 처음 클릭 한 영화의 제목은 무엇입니까?
5. 영화 예고편의 전체 URL은 무엇입니까? ( defined by "preview-url")
6. Ann이 클릭 한 두 번째 영화의 제목은 무엇입니까?
7. 구매 가격은 얼마입니까? (defined by “price-display”)
8. Ann이 마지막으로 검색 한 용어는 무엇입니까?
* 증거파일 : evidence03.pcap
----------------------------------------------------------------------------------------------------->>>
✔문제풀이✔ (사용 툴 : Wireshark)
1. Ann's AppleTV의 MAC 주소는 무엇입니까?
- evidence03.pcap을 열면 packet list, packet detail, packet data 부분 중 packet detail 부분에 바로 16진수로 표현된 주소가 나와있다.
- 정답 : 00:25:00:fe:07:c4
2. Ann's AppleTV는 HTTP 요청에 어떤 User-Agent 문자열을 사용 했습니까?
- HTTP의 패킷스트림을 확인해 보면 알 수 있다.
- 정답 : AppleTV/2.4
3. AppleTV에서 Ann의 처음 네 개의 검색어는 무엇입니까? (all incremental searches count)
- 메뉴 file->Export object-http에서 확인해보니 incrementalSearch문자열 뒤에 &q=%s로 변수가 바뀌는 것을 알 수 있다.
- 정답 : h -> ha -> hac -> hack
4. Ann이 처음 클릭 한 영화의 제목은 무엇입니까?
- 3번 답 밑에 보니 Movies-Search가 보인다. 그리고 그 밑에 pageName=Movie%Page-US-Hakers가 있다. 3번 답이 hack인걸로 보아 제목은 Hackers라고 유추할 수 있다.
- 정답 : Hackers
5. 영화 예고편의 전체 URL은 무엇입니까? ( defined by "preview-url")
- Ctrl+F를 눌러 Packet details과 string을 선택하고, preview-url을 검색해보니 해당 화면이 나왔다.
- 1번은 Packet list이고, Packet detail은 2번에 해당한다. 3번은 Packet bytes영역이다.
- 정답 :
- http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v
6. Ann이 클릭 한 두 번째 영화의 제목은 무엇입니까?
- 4번 문제와 같이 Export http object에서 확인해 보니 s-> sn-> … -> sneak를 검색하였고, pageName에 Sneakers가 보여 두번째 영화제목인 것을 유추할 수 있다.
- 정답 : Sneakers
7. 구매 가격은 얼마입니까? (defined by “price-display”)
- 5번문제와 같은 방식으로 price-display를 검색해보니 답이 나왔다.
- 정답 : $9.99
8. Ann이 마지막으로 검색 한 용어는 무엇입니까?
- Export http object 맨 마지막을 보니 &q=뒤에 검색어를 확인 할 수 있었다.
- 정답 : iknowyourewatchingme (난 너가 나를 감시하고 있는 걸 알고 있다……?)
'#Network Forensic > LMG puzzle contest' 카테고리의 다른 글
| Network Forensic puzzles contest #4 (0) | 2020.05.10 |
|---|---|
| Network Forensic puzzles contest #2 (0) | 2020.05.10 |
| Network Forensic puzzles contest #1 (0) | 2020.05.09 |
