Файловый архив студентов. Файловый архив студентов.
1316 вузов, 5367 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
Форензика
Файл:

Практика 2

.docx
Скачиваний:
0
Добавлен:
16.02.2026
Размер:
1.65 Mб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное Государственное Бюджетное Образовательное Учреждение Высшего Образования

«МОСКОВСКИЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ СВЯЗИ И ИНФОРМАТИКИ»

(МТУСИ)

Кафедра БТК

Практическое задание №2

По дисциплине

«Форензика»

Выполнил студент группы

Проверил доцент кафедры БТК

Потапова Д.А.

г. Москва 2025

1. Файл Fs.img Помогите нерадивому фотографу восстановить лучшее фото кота в его жизни, которое он случайно удалил.

Для начала открываем файл Fs.img в любом удобном HEX-редакторе. Я буду использовать Visual Studio Code с “HEX editor with tags” (см. рисунок 1)

Рисунок 1 – файл Fs.img в HEX-редакторе

Мы видим источник данного файла – mkfs.fat (команду для Linix, создающую MS-DOS систему FAT16), из чего мы делаем вывод, что файл представляет собой образ с файловой системой FAT16. Далее попробуем открыть данный файл архиватором. Я буду использовать бесплатный и универсальный вариант – 7-Zip. Файл успешно открылся (см. рисунок 2)

Рисунок 2 – файл Fs.img, открытый в 7-Zip

Свойства файла подтверждают использование файловой системы FAT16 (см. рисунок 3)

Рисунок 3 – Свойства файла Fs.img в 7-Zip

Внутри оказалась папка со вложенными фотографиями (см. рисунки 4 и 5)

Рисунок 4 – файл DSC_0001.JPG

Рисунок 5 – файл DSC_0003.JPG

Также после восстановления образа было извлечено следующее изображение:

Рисунок 6 – Восстановленное изображение

2. Восстановить файл

Файл syslog.1.gz, исходя из названия, представляет собой лог-файл, создаваемый системой Linux. Соответственно, для его открытия я использую программу 7-Zip (см. рисунок 6).

Рисунок 7 – Файл syslog.1.gz в 7-Zip

Внутри находится файл с расширением 1, представляющий собой лог событий системы. Для работы с ним я открою его в Visual Studio Code (см рисунок 7)

Рисунок 8 – Файл syslog.1 в Visual Studio Code

Для поиска всех скачанных файлов воспользуемся функцией поиска по регулярному выражению (см. рисунок 8). Для этого было использовано следующее регулярное выражение: GET .*?\..{1,5} HTTP

Рисунок 9 – Результаты поиска

За один сеанс было загружено 5252 файла.

3. Что скачал пользователь?

Файл download.pcap является бинарным файлом захвата сетевого трафика программы WireShark. Соответственно, для дальнейшего анализа она и будет использована (см. рисунок 9)

Рисунок 10 – download.pcap в WireShark

Для начала отследим поток пакетов TCP с помощью сочетания клавиш Ctrl+Alt+Shift+T (см рисунок 10).

Рисунок 11 – Поток TCP-пакетов в download.pcap

Нас интересует следующая часть данного потока (см. рисунок 11).

Рисунок 12 – Получение файла по протоколу HTTP

Мы узнали, что файл был получен по незащищённому протоколу HTTP. Теперь для его извлечения можно сделать следующее: Файл -> Экспортировать объекты -> HTTP (см. рисунок 12)

Рисунок 13 – Опция экспорта

Рисунок 14 – Окно с HTTP-объектами в файле download.pcap

Теперь просто сохраняем файл download и открываем в HEX-редакторе (см. рисунок 14)

Рисунок 15 – HEX-заголовок файла download

Исходя из следующих байтов (00 00 01 00 01 00) мы делаем вывод, что данный файл имел расширение *.ico. После переименования получаем следующую иконку с разрешением 128x128 (см. рисунок 15)

Рисунок 16 – download.ico

4. Наш сайт взломали! Кто виноват и что делать? (сетевая атака)

Для начала откроем файл attack.pcap в WireShark (см. рисунок 16)

Рисунок 17 – attack.pcap в WireShark

Видно, что атака шла с IP-адреса 149.154.167.99 и порта 443, при этом имеет подозрительно короткий запрос длиной всего 60 символов. Экспорт HTTP-объектов показал следующее (см. рисунок 17).

Рисунок 18 – Ответы сервера на один запрос

Как видно, на один короткий запрос наш сервер выдаёт множество более длинных со следующим содержанием (см. рисунок 18)

Рисунок 19 – Содержимое одного HTTP-ответа от сервера

Исходя из имеющихся данных можно предположить, что это HTTP-based DDoS. Для предотвращения дальнейших атак стоит перенастроить DDoS фильтры и закрыть уязвимость сервера, позволяющую на один запрос отправлять огромное число однообразных HTTP-пакетов.

Если суммировать все полученные символы, получим следующий текст (см. рисунок 19).

Рисунок 20 – CTF-флаг, выгруженный SQL-инъекцией

Соседние файлы в предмете Форензика
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности