WireShark网络取证实录（1）

每年这个新学期开始的时候，我都会向学生们去安利 WireShark ，告诉他们这个 工具 将会打开通往网络世界的大门。絮叨一番它的各种好处之后，末了还要再加上一句“现在的书不管国内国外大都还是在介绍 1.X 版的操作，咱们上课时就用 2.X 版的，这才叫与时俱进！”

今年我仍然打算在启动 WireShark 的时候重复这句话，谁知一条“当前 Wireshark 的最新版本为 3.0 ，是否更新到这个版本”提示不合时宜的跳了出来，让我那句“这才叫与时俱进”生生的憋了回去。

细想想，要是不改名的话， Wireshark 已经 20 好几岁了，按说出个 8.X 也是正常。垂垂老矣的我只能感慨时间过的太快，太多的事情还没有做。这些年阅读了高手介绍 WireShark 在网络分析的心得，收获颇丰。但是在 WireShark 的另一个领域网络取证方面，去很少有人提及，想想很是可惜，今天抛砖引玉，也来聊聊 WireShark 的取证功能。

这里我向你推荐一个很有意思的网站 “ http://forensicscontest.com ” 这个网站中提供了一些很专业的题目用于帮助我们学习 WireShark 的使用。国内很多安全类比赛的题目也都源于这个网站。我们来看一下里面提供的第一个网络取证题目：

“翠花 到底干了些啥 ？！ ”

行业巨鳄“大富贵” 公司怀疑他们的雇员 翠花 是 竞争对手“南天门”公司的卧底。但是发现的太晚了， 公司的重要机密 ， 翠花知道的都差不多了。 大富贵 公司 的安全人员王大力 担心 翠花 有可能会泄露这些机密。 咋办，干掉她，肯定不行啊，这也不是拍电影，报警吧，可是人家翠花也没干啥啊。

所以这些天可把王大力愁坏了，干脆吧，只要翠花上班，就派人盯着她，可人家翠花不愧是搞无间道的，就是 没有任何 的把柄 。

不过就在今天 ， 有人开始搞事情了 ，一个从未使用过的笔记本电脑连接到了 大富贵 公司的无线网络中 。 王大力打算放长线钓大鱼，假装没发现，一面悄悄的监听它的通信，一面派人四处在大楼里寻找这台笔记本电脑。

谁知大楼找遍了，也没有见到这个笔记本的踪影。王大力这才反应过来，一拍脑袋 “啊呀我去，这货肯定是藏在地下车场了”。此时已经晚了，网络监控已经显示这台笔记本已经断开连接了。

不过，狐狸的尾巴还是露出来了，根据网络监控，就在刚才 翠花 的计算机（ 192.168.1.158 ）将一些信息通过无线网络发送到 那台笔记本电脑上了 。

“翠花，你这个胆子也是忒大了点了，居然在我眼皮子底下搞事情！”王大力虽然没有抓到现行，但是有了这个这个期间监听到的数据包，料想王翠花这个卧底是没跑了。不过接下来手下的报告却让他又傻眼了。

“我们捕获到了他们通信时的数据包” 公司的网络监控人员向王大力汇报 “但是我们并不知道发生了什么， 这需要专业的网络取证人员。 ”

好了，现在你就是 王大力请来的网络 取证工作人员 李元芳 ，现在 王大力想知道的 就是 到底 翠花 在和谁联系，她 都干了些啥 ， 对，你还得回答他下面这些问题：

1 ．和 翠花 通信的好友叫什么名字？

2 ．在这次通信时发出的第一条消息是什么？

3 ． 翠花 传送了一个文件，这个文件的名字为什么？

4 ．这个文件中 Magic number 是什么（最前面的 4 个 bytes ）

多说一句， Magic number 是啥，是幻数，它可以用来标记文件或者协议的格式，很多文件都有幻数标志来表明该文件的格式。一般 来说 ， 硬盘数据恢复软件 （如 EasyRecovery ），就是靠分析磁盘上的原始数据，然后根据文件 幻数 来试图匹配文件格式，从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件（真实的文件内容可能没有被覆盖）。

5 ．这个文件的 MD5 值为多少？

6 ．这个文件的内容是什么？

文件的下载地址 http://forensicscontest.com/contest01/evidence01.pcap 。

我们先来看第一个题目，和 翠花 通信的好友（ buddy ）叫什么名字？，首先使用 WireShark 打开其中刚刚捕获到的 evidence01.pcap 文件。现在我们可以肯定的是 翠花 使用了某种通信工具在和外界进行通信，那么她使用的是什么呢， ICQ 、 Skype 或者 QQ ？ ( 注意其实这个问题在 原来的 题目中已经给出了答案，这里为了 增加难度 ，所以假设事先不知道 ) 这里我们可以在数据包中来一查究竟。经过仔细观察之后，我们除了开始的一些 ARP 和 TCP 数据包之外，第 23 个数据包显示使用了 SSL 协议，这是一个加密的格式，我们猜测这就是 翠花 在和外界通信时产生的数据包。虽然它的内容采用了加密的格式，但是它的 IP 协议头部却给带来了我们了一个惊喜。这个数据包的目的地址是 64.12.24.50 。

图 1 查看到的目的地址

这里 我们 最好为 WireShark 添加显示地理位置的插件， 这样就 可以直接查看这个数据包的目的所在地。

图 2   目的地址的详细信息

这里我们看到了这个数据包发往了 “ AOL Transit Data Network ”，国内的用户对于 AOL 可能有些陌生，不过它在美国可是曾经很有名气的。 不知道没关系，怕啥，有事不明问百度呗！ 我们求助搜索引擎，在百度里面搜索 “ AOL   通信工具 ”，很快就得到了有用的信息。

图 3    在百度中搜索到的 AOL 信息

原来 翠花 用 的通信工具 就是 AIM 啊 ，另外我们还查询到了这个工具使用的是 443 端口。那么接下来就好办了， WireShark 中早就已经提供了对 AIM 信息的解析方法。这里我们只需要将 SSL 加密的数据包重新解析为 AIM 格式即可。首先在第 23 个数据包上单击鼠标右键，然后选择“ Decode as ”选项，就可以打开 "Decode As" 对话框了。

图 4 WireShark 的 Decode as 窗口

这个对话框一共分成 5 个部分，第 1 列 Field 表示使用端口的类型，第 2 列 Value 表示使用的端口值，第 3 列 Type 表示类型，第 4 个为默认的解析协议，第 5 个为用户要指定的解析协议。对这里面的进行修改，我们的目的是凡是使用 443 端口的通信都使用 AIM 进行解析。那么将 Field 修改为 TCP Port ，将 Value 修改为 443 ，将 Current 修改为 AIM 。

图 5 将 SSL 加密的数据包重新解析为 AIM 格式

好了设置完成之后，我们就可以单击 Save 按钮保存设置，然后在在数据包列表面板中查看所有的信息。这里面原来显示为 SSL 的数据包，现在都已经显示为 AIM 信息了。

图 6 转换格式之后的数据包

好了现在我们回到第一个问题上来，和 翠花 通信的好友（ buddy ）叫什么名字？找到第一条“ AIM Messaging ”，也就是第 25 个数据包，展开里面的信息，发现它分成了两层“ AOL Instant Messenger ”和“ AIM Messaging ， Outgoing ”，我们依次展开两层，很快就找到了答案。

图 7 显示的 Buddy 字段内容

翠花 联系的好友的名称原来就是 Sec558user1 ， 这是啥名啊，一看就不是正经人啊！

好了第 2 个问题在这次通信时发出的第一条消息是什么，这个问题就简单多了，展开第一条 AIM Messaging 这个数据包的 TLV 部分，

图 8 翠花 通信时发出的第一条消息

第 3 个问题， 翠花 传送了一个文件，这个文件的名字叫什么？我们在 WireShark 中使用“ data ”作为显示过滤器来查看哪些数据包中包含了数据。

图 9 使用 “ data ”作为显示过滤器

在这里面选择一个数据包，然后单击鼠标右键选择 Follow>TCP Stream ，打开的窗口如图 10 所示。

图 10 在 TCP 数据流中看到的文件名

好了，其实不用提取这个文件，我们就已经看到了这个文件的名称是 recipe.docx 了。

第 4 个问题，这个文件中 Magic number 是什么（最前面的 4 个 bytes ），这里我们首先需要了解一下它的概念。 Magic number ，即幻数，它可以用来标记文件或者协议的格式，很多文件都有幻数标志来表明该文件的格式。一般而言， 硬盘数据恢复软件 （如 EasyRecovery ），就是靠分析磁盘上的原始数据，然后根据文件 幻数 来试图匹配文件格式，从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件。

我们按照第 2 节中介绍的方法将数据流中的文件提取出来，将这个文件保存为 evidence01.raw ，然后使用 winhex 打开，这个文件实际内容是从 recipe.docx 后面开始的，根据题目中给出的提示答案为最前面的 4 个 bytes ，所以为“ 50 4B 03 04 ”。这里面涉及到一些文件格式方面的知识，大家如果感兴趣的话可以去参考一些相关的资料。

图 11 文件最前面的 4 个 bytes

然后我们将这个 PK 前面的部分删除掉，再保存为 recipe.docx 。

图 12 保存的 recipe.docx

5 ．这个文件的 MD5 值为多少？

计算 MD5 的值其实和 WireShark 没有什么关系，但是在取证方面却很重要，这相当于给文件添加了一个身份证，以防止它被篡改。

图 13 计算文件的 MD5 值

这个你可以使用任何的 MD5 工具来计算它的 MD5 值，这个题目最后的答案为 8350582774e1d4dbe1d61d64c89e0ea1 。

最后一个问题，这个文件的内容是什么？，在解答第 4 个问题的时候，我们已经将网络中的 TCP 数据流保存成为了 recipe.docx ，现在只需要打开这个 word 文档，就可以看到里面的内容了。

图 14 翠花传送 的 word 文档

好了，整个探案过程到此为止了， 你，也就是李元芳的工作也圆满结束。

王大力看着你做完这一切，长出一口气， “哈哈，翠花，这下我看你还怎么抵赖！”，说完带上几个警卫就直奔翠花的办公室去了。

这正是 “商场谍战风云起，网络神兵显身手”，欲知后事如何，咱们且听下文分解。