Comments on: Network forensic yarışması

By: Caner

Caner — Sat, 29 Aug 2009 10:54:25 +0000

bu sitede bir çok dosyanın başlık bilgisi dediğimiz “file signature” ya da “magic number” ile bilgi bulabilirsin.
http://www.garykessler.net/library/file_sigs.html

By: ilker

ilker — Fri, 28 Aug 2009 08:19:41 +0000

Her “tür” demek istemiştim :o) Peki diğer tür dosyaların uzantıları ile ilgili bir standard varmıdır, acaba bir kaynak önerebilir misiniz?

By: Caner

Caner — Thu, 27 Aug 2009 18:52:38 +0000

@ilker: her tr dosya için derken ne demek istedin?
compound dosyaların uzantısı PK (Phil Katz )ile başlar. Bu dosyaları zaten winzip veya winrar ile açabilirsin. docx dosyayı winzip veya winrar ile bir açmayı dene.

By: ilker

ilker — Thu, 27 Aug 2009 11:24:31 +0000

Dosyaların header bilgisi her tr dosya için aynı olsa gerek değil mi? zip dosyası için denedim yine PK yı gördüm..

By: Necati Demir

Necati Demir — Thu, 27 Aug 2009 07:59:25 +0000

Aslında docx dosyasını elle ayıklamak yerine kullanılacak çok güzel araçlar var.

tcpflow ile bir tcp session’i içindeki bütün verileri (continuous packet’leri) tek bir dosyaya toplayın, daha sonra da foremost ile bu binary veriyi ayıklayın, çıkacak zip dosyasının uzantısını zip’ten docx’e çevirin.

Bu kadar.

By: Caner

Caner — Sun, 23 Aug 2009 04:24:51 +0000

Dosyayı çıkaramayan arkadaşlara:
docx dosyası compound bir dosyadır yani dosya ve klasörlerden oluşur. Burada dosyanın header bilgisi PK ile başlar.Dosya transferinin yer aldığı paketleri ki sanırım FileXfe programı ile gönderilmiş. 158–>159 ip ye filtreleyip paketi raw modda farklı kaydedip hex ile açtım ve ilk PK’ ya kadar silip bu sefer docx uzantılı kaydettim. Sonra malum md5 özetini çıkardım.

By: Caner

Caner — Sun, 23 Aug 2009 04:14:22 +0000

hele şükür dosyayı çıkardım.
md5:8350582774e1d4dbe1d61d64c89e0ea1

Recipe for Disaster:

1 serving

Ingredients:

4 cups sugar

2 cups water

In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.

By: Caner

Caner — Sun, 23 Aug 2009 03:17:30 +0000

hocam bi şeyler yaptım ama bi bakarsanız doğru mu yanıtlar?

1-Sec558user1
2-thanks dude
3-recipe.docx
4-PK
5-(dosyayı çıkartamadım)
6-Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go

By: admin

admin — Sat, 22 Aug 2009 11:10:31 +0000

Kaydedilmis dosya icerisinden orjninal verileri elde etmenin çeşitli yöntemleri vardır. Blogda data carvign olarak aratirsaniz ufak bir iki yazi cikacaktir.

Oncelikle wireshark ile calismaniz size ilk uc adimi bulduracaktir.

By: Kemal

Kemal — Sat, 22 Aug 2009 11:07:35 +0000

mrb hocam evidence.pacp dosyasını indirdim.
fakat burda söylenileni nasılyapacam.

(pcap dosyası içerisindeki IM görüşmeleri ve dosya transferinde geçen dosyayı kaydedilmiş trafik üzerinden çıkarıp göndermeleri isteniyor.)

biraz yardımcı oalbilrmisiniz..