1. What is the MAC address of Ann’s AppleTV?
- Buka wireshark, lalu open file evidence03.pcap
- Klik Statics pada toolbar -> pilih Endpoints
- Pilih enpoints yang mengandung nama Apple
- Klik name resolution di kiri bawah untuk melihat MAC addres
Didapatkan jawaban: 00:25:00:fe:07:c4
2. What User-Agent string did Ann’s AppleTV use in HTTP requests?
- Ketikkan “HTTP” pada kolom filter lalu apply (HTTP digunakan karena kita mendapatkan clue di soal Ann menggunakan HTTP requests)
- Pilih salah satu paket, liat di paket detail
- Klik Hypertext Transfer Protocol
-
- Lihat User Agent
3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
- Perhatikan pola dari destination port untuk search, setiap search menggunakan destination port 66.235.132.121 oleh karena itu:
- Gunakan filter ip.dst == 66.235.132.121 and http.request.method == “GET”
- Perhatikanlah kolom info, maka akan didapatkan setiap search yang mengandung string “incrementalSearch” diikuti dengan penambahan string h, ha, hac, hack
4. What was the title of the first movie Ann clicked on?
- Gunakan filter ip.dst == 66.235.132.121 and http.request.method == “GET”
- Lihat kolom info, lihat yang mengandung kata Movie dan ada judulnya
- Didapatkan bahwa film yang Ann pertama klik adalah: Hackers
5. What was the full URL to the movie trailer (defined by “preview-url”)?
- Kembali ke paket paling pertama
- Karena telah diberi tahu kata kunci “preview-url”, kita lakukan search terhadap kata kunci tersebut
- ctrl-f, pilih String, lalu klik juga packet details
- ketikkan preview-url
- klik search
- lihat hasil search yang pertama
- Didapatkan bahwa URL trailer movie tersebut adalah: http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640×278.h264lc.d2.p.m4v
6. What was the title of the second movie Ann clicked on?
- Gunakan filter seperti pada nomor 4, ip.dst == 66.235.132.121 and http.request.method == “GET”
- lihat kolom info, lihat yang mengandung Movie kedua dan ada judulnya
- didapatkan judul movie kedua adalah: Sneakers
7. What was the price to buy it (defined by “price-display”)?
- Kembali ke paket paling pertama
- Kita telah diberi kata kunci kembali yaitu price-display
- ctrl-f, pilih String, lalu klik juga packet details
- ketikkan price-display
- klik search
- klik ctrl-n untuk ke hasil search berikutnya (harga movie kedua)
- didapatkan jawaban: $9.99
8. What was the last full term Ann searched for?
- Gunakan filter ip.dst == 66.235.132.121 and http.request.method == “GET”
- lihat kolom info maka akan didapatkan Ann terakhir kali mencari kata apa (secara increment juga)
- didapatkan hasil: iknowyourewatchingme
9. Kesimpulan:
Saya telah berhasil menyelesaikan kontes forensik puzzle nomor 3, dan dari penyelesaian kasus ini Ann sedang mencari film tentang Hack dan Sneak menggunakan Apple TV nya.
Tidak ada komentar:
Posting Komentar