WireShark网络取证实录(1)

栏目: 编程工具 · 发布时间: 5年前

每年这个新学期开始的时候,我都会向学生们去安利 WireShark ,告诉他们这个 工具 将会打开通往网络世界的大门。絮叨一番它的各种好处之后,末了还要再加上一句“现在的书不管国内国外大都还是在介绍 1.X 版的操作,咱们上课时就用 2.X 版的,这才叫与时俱进!”

今年我仍然打算在启动 WireShark 的时候重复这句话,谁知一条“当前 Wireshark 的最新版本为 3.0 ,是否更新到这个版本”提示不合时宜的跳了出来,让我那句“这才叫与时俱进”生生的憋了回去。

细想想,要是不改名的话, Wireshark 已经 20 好几岁了,按说出个 8.X 也是正常。垂垂老矣的我只能感慨时间过的太快,太多的事情还没有做。这些年阅读了高手介绍 WireShark 在网络分析的心得,收获颇丰。但是在 WireShark 的另一个领域网络取证方面,去很少有人提及,想想很是可惜,今天抛砖引玉,也来聊聊 WireShark 的取证功能。

这里我向你推荐一个很有意思的网站 http://forensicscontest.com 这个网站中提供了一些很专业的题目用于帮助我们学习 WireShark 的使用。国内很多安全类比赛的题目也都源于这个网站。我们来看一下里面提供的第一个网络取证题目:

“翠花 到底干了些啥 ?!

行业巨鳄“大富贵” 公司怀疑他们的雇员 翠花 竞争对手“南天门”公司的卧底。但是发现的太晚了, 公司的重要机密 翠花知道的都差不多了。 大富贵 公司 的安全人员王大力 担心 翠花 有可能会泄露这些机密。 咋办,干掉她,肯定不行啊,这也不是拍电影,报警吧,可是人家翠花也没干啥啊。

所以这些天可把王大力愁坏了,干脆吧,只要翠花上班,就派人盯着她,可人家翠花不愧是搞无间道的,就是 没有任何 的把柄

不过就在今天 有人开始搞事情了 ,一个从未使用过的笔记本电脑连接到了 大富贵 公司的无线网络中 王大力打算放长线钓大鱼,假装没发现,一面悄悄的监听它的通信,一面派人四处在大楼里寻找这台笔记本电脑。

谁知大楼找遍了,也没有见到这个笔记本的踪影。王大力这才反应过来,一拍脑袋 “啊呀我去,这货肯定是藏在地下车场了”。此时已经晚了,网络监控已经显示这台笔记本已经断开连接了。

不过,狐狸的尾巴还是露出来了,根据网络监控,就在刚才 翠花 的计算机( 192.168.1.158 )将一些信息通过无线网络发送到 那台笔记本电脑上了

“翠花,你这个胆子也是忒大了点了,居然在我眼皮子底下搞事情!”王大力虽然没有抓到现行,但是有了这个这个期间监听到的数据包,料想王翠花这个卧底是没跑了。不过接下来手下的报告却让他又傻眼了。

“我们捕获到了他们通信时的数据包” 公司的网络监控人员向王大力汇报 “但是我们并不知道发生了什么, 这需要专业的网络取证人员。

好了,现在你就是 王大力请来的网络 取证工作人员 李元芳 ,现在 王大力想知道的 就是 到底 翠花 在和谁联系,她 都干了些啥 对,你还得回答他下面这些问题:

1 .和 翠花 通信的好友叫什么名字?

2 .在这次通信时发出的第一条消息是什么?

3 翠花 传送了一个文件,这个文件的名字为什么?

4 .这个文件中 Magic number 是什么(最前面的 4 bytes

多说一句, Magic number 是啥,是幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般 来说 硬盘数据恢复软件 (如 EasyRecovery ),就是靠分析磁盘上的原始数据,然后根据文件 幻数 来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件(真实的文件内容可能没有被覆盖)。

5 .这个文件的 MD5 值为多少?

6 .这个文件的内容是什么?

文件的下载地址 http://forensicscontest.com/contest01/evidence01.pcap

我们先来看第一个题目,和 翠花 通信的好友( buddy )叫什么名字?,首先使用 WireShark 打开其中刚刚捕获到的 evidence01.pcap 文件。现在我们可以肯定的是 翠花 使用了某种通信工具在和外界进行通信,那么她使用的是什么呢, ICQ Skype 或者 QQ ( 注意其实这个问题在 原来的 题目中已经给出了答案,这里为了 增加难度 ,所以假设事先不知道 ) 这里我们可以在数据包中来一查究竟。经过仔细观察之后,我们除了开始的一些 ARP TCP 数据包之外,第 23 个数据包显示使用了 SSL 协议,这是一个加密的格式,我们猜测这就是 翠花 在和外界通信时产生的数据包。虽然它的内容采用了加密的格式,但是它的 IP 协议头部却给带来了我们了一个惊喜。这个数据包的目的地址是 64.12.24.50

WireShark网络取证实录(1)  

1 查看到的目的地址

这里 我们 最好为 WireShark 添加显示地理位置的插件, 这样就 可以直接查看这个数据包的目的所在地。

WireShark网络取证实录(1)  

2   目的地址的详细信息

这里我们看到了这个数据包发往了AOL Transit Data Network ”,国内的用户对于 AOL 可能有些陌生,不过它在美国可是曾经很有名气的。 不知道没关系,怕啥,有事不明问百度呗! 我们求助搜索引擎,在百度里面搜索AOL   通信工具 ”,很快就得到了有用的信息。

WireShark网络取证实录(1)  

3    在百度中搜索到的 AOL 信息

原来 翠花 的通信工具 就是 AIM ,另外我们还查询到了这个工具使用的是 443 端口。那么接下来就好办了, WireShark 中早就已经提供了对 AIM 信息的解析方法。这里我们只需要将 SSL 加密的数据包重新解析为 AIM 格式即可。首先在第 23 个数据包上单击鼠标右键,然后选择“ Decode as ”选项,就可以打开 "Decode As" 对话框了。

WireShark网络取证实录(1)  

4 WireShark Decode as 窗口

这个对话框一共分成 5 个部分,第 1 Field 表示使用端口的类型,第 2 Value 表示使用的端口值,第 3 Type 表示类型,第 4 个为默认的解析协议,第 5 个为用户要指定的解析协议。对这里面的进行修改,我们的目的是凡是使用 443 端口的通信都使用 AIM 进行解析。那么将 Field 修改为 TCP Port ,将 Value 修改为 443 ,将 Current 修改为 AIM

WireShark网络取证实录(1)  

5 SSL 加密的数据包重新解析为 AIM 格式

好了设置完成之后,我们就可以单击 Save 按钮保存设置,然后在在数据包列表面板中查看所有的信息。这里面原来显示为 SSL 的数据包,现在都已经显示为 AIM 信息了。

WireShark网络取证实录(1)  

6 转换格式之后的数据包

好了现在我们回到第一个问题上来,和 翠花 通信的好友( buddy )叫什么名字?找到第一条“ AIM Messaging ”,也就是第 25 个数据包,展开里面的信息,发现它分成了两层“ AOL Instant Messenger ”和“ AIM Messaging Outgoing ”,我们依次展开两层,很快就找到了答案。

WireShark网络取证实录(1)  

7 显示的 Buddy 字段内容

翠花 联系的好友的名称原来就是 Sec558user1 这是啥名啊,一看就不是正经人啊!

好了第 2 个问题在这次通信时发出的第一条消息是什么,这个问题就简单多了,展开第一条 AIM Messaging 这个数据包的 TLV 部分,

WireShark网络取证实录(1)  

8 翠花 通信时发出的第一条消息

3 个问题, 翠花 传送了一个文件,这个文件的名字叫什么?我们在 WireShark 中使用“ data ”作为显示过滤器来查看哪些数据包中包含了数据。

WireShark网络取证实录(1)  

9 使用data ”作为显示过滤器

在这里面选择一个数据包,然后单击鼠标右键选择 Follow>TCP Stream ,打开的窗口如图 10 所示。

WireShark网络取证实录(1)  

10 TCP 数据流中看到的文件名

好了,其实不用提取这个文件,我们就已经看到了这个文件的名称是 recipe.docx 了。

4 个问题,这个文件中 Magic number 是什么(最前面的 4 bytes ),这里我们首先需要了解一下它的概念。 Magic number ,即幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般而言, 硬盘数据恢复软件 (如 EasyRecovery ),就是靠分析磁盘上的原始数据,然后根据文件 幻数 来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件。

我们按照第 2 节中介绍的方法将数据流中的文件提取出来,将这个文件保存为 evidence01.raw ,然后使用 winhex 打开,这个文件实际内容是从 recipe.docx 后面开始的,根据题目中给出的提示答案为最前面的 4 bytes ,所以为“ 50 4B 03 04 ”。这里面涉及到一些文件格式方面的知识,大家如果感兴趣的话可以去参考一些相关的资料。

WireShark网络取证实录(1)  

11 文件最前面的 4 bytes

然后我们将这个 PK 前面的部分删除掉,再保存为 recipe.docx

WireShark网络取证实录(1)  

12 保存的 recipe.docx

5 .这个文件的 MD5 值为多少?

计算 MD5 的值其实和 WireShark 没有什么关系,但是在取证方面却很重要,这相当于给文件添加了一个身份证,以防止它被篡改。

WireShark网络取证实录(1)  

13 计算文件的 MD5

这个你可以使用任何的 MD5 工具来计算它的 MD5 值,这个题目最后的答案为 8350582774e1d4dbe1d61d64c89e0ea1

最后一个问题,这个文件的内容是什么?,在解答第 4 个问题的时候,我们已经将网络中的 TCP 数据流保存成为了 recipe.docx ,现在只需要打开这个 word 文档,就可以看到里面的内容了。

WireShark网络取证实录(1)  

14 翠花传送 word 文档

好了,整个探案过程到此为止了, 你,也就是李元芳的工作也圆满结束。

王大力看着你做完这一切,长出一口气, “哈哈,翠花,这下我看你还怎么抵赖!”,说完带上几个警卫就直奔翠花的办公室去了。

这正是 “商场谍战风云起,网络神兵显身手”,欲知后事如何,咱们且听下文分解。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算广告

计算广告

刘鹏、王超 / 人民邮电出版社 / 2015-9-1 / 69.00元

计算广告是一项新兴的研究课题,它涉及大规模搜索和文本分析、信息获取、统计模型、机器学习、分类、优化以及微观经济学等诸多领域的知识。本书从实践出发,系统地介绍计算广告的产品、问题、系统和算法,并且从工业界的视角对这一领域具体技术的深入剖析。 本书立足于广告市场的根本问题,从计算广告各个阶段所遇到的市场挑战出发,以广告系统业务形态的需求和变化为主线,依次介绍合约广告系统、竞价广告系统、程序化交易......一起来看看 《计算广告》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具