Cfreds-hacking-case Part.3 [16~31]

각 항목 정답 및 풀이

16. Find 6 installed programs that may be used for hacking.

[해킹에 사용될 수 있는 6개의 설치된 프로그램을 찾아라.]

공격자 IP 은닉

• Anonymizer Bar 2.0

Wifi 탐색

• NetStubler

Network 정보 수집

• Look&LAN_1.0 (network discovery tool)
• Ethereal (packet sniffer)

Password Cracking

• Cain & Abel v2.5 beta45 (password sniffer & cracker)

• 123 Write All Stored Passwords (finds passwords in registry)

17. What is the SMTP email address for Mr. Evil? [Evil씨의 SMTP 이메일 주소는?]

설치 리스트 자료 기반 → OutlookExpress | agent

Answer : whoknowsme@sbcglobal.net

• reg info → 메일 결과 확인 가능했음.
• 별도로 레지스트리를 통해, 메일로 사용되는 프로그램 확인 가능 (연결 프로그램 개념?)

Software | startmenuinternetapps_lm | Plugin (Reg_ripper)

Start Menu Internet Applications

-> 4개의 메일 관련 프로그램 체크 가능.

 

 

18. What are the NNTP (news server) settings for Mr. Evil? [Evil 씨에 대한 NNTP(뉴스 서버) 설정 내용]

NTTP Settings | AGENT.INI

 

19. What two installed programs show this information?

OutlookExpress | agent

[Servers]

NewsServer="news.dallas.sbcglobal.net"

Grep - NewsServer="news.dallas.sbcglobal.net"

AGENT.INI | Outlook Express

-> Forte Agent / Outlook Express

 

20. List 5 newsgroups that Mr. Evil has subscribed to? [Mr. Evil이 가입한 5개의 뉴스 그룹을 나열하세요.] -pattern | SIFT

Grep - NewsServer="news.dallas.sbcglobal.net"

-> [root]\Documents and Settings\Mr. Evil\Local Settings\Application Data\Identities{EF086998-1115-4ECD-9B13-9ADC067B4929}\Microsoft\Outlook Express~~

 

21. A popular IRC (Internet Relay Chat) program called MIRC was installed. What are the user settings that was shown when the user was online and in a chat channel? [인기 있는 IRC(Internet Relay Chat) 프로그램인 MIRC(인터넷 릴레이 채팅)가 설치되었는데, 사용자가 온라인에 있을 때, 채팅 채널에 있을 때 보여졌던 사용자 설정은 무엇인가?]

22. This IRC program has the capability to log chat sessions. List 3 IRC channels that the user of this computer accessed.[이 IRC 프로그램은 채팅 세션을 기록할 수 있는 기능을 가지고 있다. 이 컴퓨터의 사용자가 액세스한 3개의 IRC 채널을 나열하십시오.]

23. Ethereal, a popular “sniffing” program that can be used to intercept wired and wireless internet packets was also found to be installed. When TCP packets are collected and re-assembled, the default save directory is that users \My Documents directory. What is the name of the file that contains the intercepted data?

24. Viewing the file in a text format reveals much information about who and what was intercepted. What type of wireless computer was the victim (person who had his internet surfing recorded) using? [파일을 텍스트 형식으로 보면 누가 무엇을 가로챘는지 많은 정보가 드러난다. 피해자(인터넷 서핑을 녹음한 사람)는 어떤 종류의 무선 컴퓨터를 사용했는가?]

25. What websites was the victim accessing? [피해자는 어떤 웹사이트에 접속하고 있었는가?]

26. Search for the main users web based email address. What is it? [26. 주요 사용자 웹 기반 이메일 주소를 검색하십시오. 그것은 무엇입니까?] -pattern | SIFT

"\w+([.-]\w)@\w+([.-]\w).\w{2,4}

grep -Elrl "\w+([.-]\w)@\w+([.-]\w).\w{2,4}" * > report.txt

grep -Elrch ""\w+([.-]\w)@\w+([.-]\w)*.\w{2,4}" "Documents and Settings\Mr . Evil\Local Settings\Temporary Internet Files\Content . IE5\

[0] grep -Elro "[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+.[A-Za-z]{2,6}" * > report.txt

27. Yahoo mail, a popular web based email service, saves copies of the email under what file name

웹 아티팩트 조사 필요

28. How many executable files are in the recycle bin? [휴지통에 실행 파일이 몇 개 있는가?]

FTK | 4개의 실행 파일을 발견할 수 있다.

 

29. Are these files really deleted? [해당 파일들은 정말 삭제되었는가?]

실제로 삭제되었다고 할 수는 없다. | 삭제를 통해, 휴지통으로 가긴 했으나.

파일이 정말로 삭제된 (Wipeing | Del) 경우가 아니기에, FTK imager 및 카빙 툴을 통해,

복구를 하는 것이 가능하다.

Meta ($MFT) 정보가 삭제되면서, 삭제된 것처럼 보이나,

실제로는 휴지통으로 이동 (폴더로 경로로 변경된 것임)

Shift + DEL

-> Meta 정보 삭제 표기

-> 실제 파일 데이터 영역 연결을 끊음.

해당 영역의 파일 존재 | 파일 데이터는 존재

카빙 툴을 통해, 복구가 가능함.

 

30. How many files are actually reported to be deleted by the file system? [파일 시스템에서 실제로 삭제된 파일은 몇 개인가?]

Recycle bin path: 'INFO2'
Version: 5
OS Guess: Windows XP or 2003
Time zone: Coordinated Universal Time (UTC) [+0000]

Index Deleted Time Gone? Size Path
1 2004-08-25 16:18:25 No 2160128 C:\Documents and Settings\Mr. Evil\Desktop\lalsetup250.exe
2 2004-08-27 15:12:30 No 1325056 C:\Documents and Settings\Mr. Evil\Desktop\netstumblerinstaller_0_4_0.exe
3 2004-08-27 15:15:26 No 442880 C:\Documents and Settings\Mr. Evil\Desktop\WinPcap_3_01_a.exe
4 2004-08-27 15:29:58 No 8460800 C:\Documents and Settings\Mr. Evil\Desktop\ethereal-setup-0.10.6.exe

 

31. Perform a Anti-Virus check. Are there any viruses on the computer? [안티바이러스 검사를 수행하십시오. 컴퓨터에 바이러스가 존재합니까?]

+ (디스크 이미지를 물린 다음, AV 엔진 돌리는 게 속 편함.) | SIFT