WireShark网络取证实录（2）

经过“大富贵”公司安全主管王大力的不屑努力，终于将无间道翠花绳之以法。就在翠花被关进了警察局之后不久，律师就把她保释了出去。可谁成想，翠花居然跑路了。这下可咋整呢？不过好在人家警察也不是吃素的，之前翠花家里的网络一直都在监控中。（话说，有空监控网络，为啥人能跑了呢）。根据监控的情况来看，翠花之前没少和一个叫二狗（原文中是翠花的“ secret lover x  ”，代号X）的人联系。

警察局长十分重视这个案子，把装有捕获到数据包文件的U盘摆在你的面前，“元芳，你怎么看？”

好了，现在你的任务是要找出翠花都发了什么邮件，并从中找出她去了哪里，打算干什么，并且给出以下问题的答案：

1. 翠花的电子邮箱地址是什么？
   

2. 翠花的电子邮箱密码是什么？

3. 跟翠花接头的二狗(代号 “  secret lover x ” )的电子邮箱地址是什么？

4. 翠花嘱咐二狗要带上哪两样东西？

5. 翠花发给二狗邮件的附件名字是什么？

6. 翠花发给二狗邮件的附件的MD5是什么？

7. 翠花跟二狗约定好要在哪个国家的哪个城市会合？

8. 文档中嵌入图像的MD5值是什么？

   下面这个地址给出了装有捕获到数据包的文件，你可以对此进行分析来回答以上问题。
   

   http://forensicscontest.com/contest02/evidence02.pcap

打开这个文件，可以看到里面包含了各种类型的数据包，向下拖动滚动条，很快就可以看到SMTP类型的数据包。

曾经这个协议在互联网也是独领风骚数十年的，在即时通信 工具 出现之前，这个协议几乎包揽了网络中的全部通信。SMTP是“Simple Mail Transfer Protocol”的缩写，意义为简单邮件传输协议 。

既然找到了SMTP类型的数据包，那么我们就可以顺藤摸瓜，来看看能找到点什么。

首先找到其中的一个SMTP类型的数据包，例如第56个数据包，然后单击鼠标右键，依次选择“Follow”--“TCP Stream”：

这样就可以看到整个邮件的内容的了：

仔细查看，很快可以找到 MAIL FROM:

得，没跑了，翠花用的就是这个邮箱！

接下来，我们来看第二个问题，翠花邮箱的密码是什么？

分析密码一直是网络取证中比较有意思的部分，翠花肯定是先登录邮箱，然后才发送的邮件。

我们从上向下来检查，很快可以发现一个“235 AUTHENTICATION SUCCESSFUL”，显然它的含义是“235认证登陆成功“，

那么它上面的”AUTH LOGIN”部分十分有可能就是登陆过程，也就是登陆的用户名和密码。

这里特别提一下的是红颜色的字体表示是由翠花发给服务器的，而蓝颜色字体表示是由服务器返回给翠花的。

那么这个334 VXNlcm5hbWU6表示的是什么含义呢？

到这里肯定有一些读者不知道下一步该怎么做了，没关系，不明白的就百度呗。你不说，谁知道你百度过了。不过百度也要有基础的，例如这里面我们该搜索什么呢，“VXNlcm5hbWU6”不是什么东西编码了，就是加密了。咱们就先用“smtp”+“用户名和密码”+“编码”作为关键词试试。下面给出的是搜索的结果。

有戏了吧，其实上一条记录也提到了Base64编码，其实 Base64是网络上最常见的用于传输8Bit 字节码 的编码方式之一。

那么既然是编码，就简单了，要是加密了就难办多了。咱们接着找个在线的Base64解码。

解码了之后的“ VXNlcm5hbWU6”为“username”，   “UGFzc3dvcmQ6”为“password”，“ c25lYWt5ZzMza0Bhb2wuY29t ”为“sneakyg33k@aol.com”，这看起来就是一个邮箱地址，和之前的结果是一样的，最后“NTU4cjAwbHo=”解码之后为“558r00lz”，不用说，这个一定是密码了。

接下来，我们来看看 跟翠花接头的二狗的电子邮箱地址是什么？

这个问题看起来好像很简单，因为在咱们通过第56个数据包还原的TCP流中已经看到了一项“ RCPT TO: : ”，哈哈，估计有人一拍脑袋，“这就是二狗的邮箱地址了，没跑了”。

搞侦破的这样办事可不中， 我们绝不能放过一个坏人,但也不可冤枉一个好人。这里我们如果就此结案的话，就会犯了一个十分致命的错误。

翠花她不一定是就写了一封邮件啊，说不定她在给二狗写信之前，突然觉得自己饿了，就先发邮件定了一份烧烤啊，咱们这么一来就把烧烤店可误会了，看来还得继续。当然，就看 sec558 这个名也不是什么普通人。咱们接着往下看，有了上面的基础，咱们直接上过滤器“SMTP”，然后再回头来看。

咋样，看到了吧，这里面RCPT TO的出现了两次，也就是说翠花一共发了两封邮件， 一份是给 sec558@gmail.com的，另一份是发给mistersecretx@aol.com的。瞪大眼睛看，二狗这货居然真的给自己起名为神秘情人x（ mistersecretx ），咋想的，他咋不上天呢！看来没跑了，就是他了！二狗的邮箱就是 mistersecretx@aol.com。

第4个问题是，翠花嘱咐二狗要带上哪两样东西？这得查看邮件里面的内容了，咱们还是按照刚才的方法，在第二封邮件产生的数据包上点击，然后导出成TCP流，仔细查看，就可以找到以下的一句话：

大意就是“亲啊，带上你的假护照和泳衣，到附件中的地点来！”，这个二狗是大阪城的姑娘吧，咋不赶着马车来呢？

第5个问题是，翠花发给二狗邮件的附件名字是什么？

这个好说，很容易就可以在TCP流窗口中找到：

很容易发现附件的名字就是“ secretrendezvous.docx ”。其实也可以直接用attachment作为关键字来搜索。

6.翠花发给二狗邮件的附件的MD5是什么？

7. 翠花跟二狗约定好要在哪个国家的哪个城市会合？

8.文档中嵌入图像的MD5值是什么？

剩下的几个问题都与附件有关，看来我们得先把邮件中的附件弄出来了。通过第5题，我们已经知道了这个文件的名字为 secretrendezvous.docx 。

下面这些乱七八糟的字符就是附件的内容了。

考虑到这个附件一定是已经通过某种编码形式才转换成这些字符的，只要我们知道了这种编码的格式，然后对其进行解码就可以了。有基础的读者可能直接联想到base64。

不过如果事先对此一无所知的话，又该如何呢？其实搜索引擎就是最好的老师，不管大牛在某一领域多么风光，换个领域他一样是个门外汉，所以总会遇到不知道的问题，无所谓，谷歌或百度就好了，大家都是这么过来的。

我们用关键词“邮件附件 编码”作为关键词，百度一下，可以看到如下的页面：

这里多谢Y_momo的文章，打开阅读之后发现里面提到了三种编码的方式， ASCII码、quoted-printable、base64编码，详细的内容这里不再赘述了，这里的附件就是采用了base64编码的。

我们可以以此来解码即可。但是这里有一个问题，跟上一个例子不一样，我们并不是要把这个base64编码的字符转换成可以可以读懂的字符，而是要将其转换成一个文件，所以不能简单的

照搬之前的做法，这里我们需要找一个可以将base64编码还原成文件的方法，这一点可以通过编程来实现。简单点的话，我们可以使用在线的转化工具，下面给出的就是一个这样的工具：

https://www.motobit.com/util/base64-decoder-encoder.asp

解码完成之后，就会弹出的一个窗口，将这个文件保存。

使用MD5值计算工具可以得到这个文档的MD5值为9E423E11DB88F01BBFF81172839E1923。       

打开之后，可以看到word的内容为：

里面定好的地点就是墨西哥的 Playa del Carmen。

最后的一个问题就是要计算图片的MD5了，这个题看似最简单，其实很容易出现问题，如果直接将图片复制另存的话，就会得到一个不同的答案，在取证过程中应该避免这种做法。

计算得到的结果为“AADEACE50997B1BA24B09AC2EF1940B7”，具体的做法是使用winrar来打开这个word文件：

其中的图片位于secretrendezvous.docx\word\media ，找到图片，将其单独解压缩出来计算MD5值。

好了，第二部分也正式结束！不过接下来故事中，二狗的戏份要多了。