每年这个新学期开始的时候,我都会向学生们去安利 WireShark ,告诉他们这个 工具 将会打开通往网络世界的大门。絮叨一番它的各种好处之后,末了还要再加上一句“现在的书不管国内国外大都还是在介绍 1.X 版的操作,咱们上课时就用 2.X 版的,这才叫与时俱进!”
今年我仍然打算在启动 WireShark 的时候重复这句话,谁知一条“当前 Wireshark 的最新版本为 3.0 ,是否更新到这个版本”提示不合时宜的跳了出来,让我那句“这才叫与时俱进”生生的憋了回去。
细想想,要是不改名的话, Wireshark 已经 20 好几岁了,按说出个 8.X 也是正常。垂垂老矣的我只能感慨时间过的太快,太多的事情还没有做。这些年阅读了高手介绍 WireShark 在网络分析的心得,收获颇丰。但是在 WireShark 的另一个领域网络取证方面,去很少有人提及,想想很是可惜,今天抛砖引玉,也来聊聊 WireShark 的取证功能。
这里我向你推荐一个很有意思的网站 “ http://forensicscontest.com ” 这个网站中提供了一些很专业的题目用于帮助我们学习 WireShark 的使用。国内很多安全类比赛的题目也都源于这个网站。我们来看一下里面提供的第一个网络取证题目:
“翠花 到底干了些啥 ?! ”
行业巨鳄“大富贵” 公司怀疑他们的雇员 翠花 是 竞争对手“南天门”公司的卧底。但是发现的太晚了, 公司的重要机密 , 翠花知道的都差不多了。 大富贵 公司 的安全人员王大力 担心 翠花 有可能会泄露这些机密。 咋办,干掉她,肯定不行啊,这也不是拍电影,报警吧,可是人家翠花也没干啥啊。
所以这些天可把王大力愁坏了,干脆吧,只要翠花上班,就派人盯着她,可人家翠花不愧是搞无间道的,就是 没有任何 的把柄 。
不过就在今天 , 有人开始搞事情了 ,一个从未使用过的笔记本电脑连接到了 大富贵 公司的无线网络中 。 王大力打算放长线钓大鱼,假装没发现,一面悄悄的监听它的通信,一面派人四处在大楼里寻找这台笔记本电脑。
谁知大楼找遍了,也没有见到这个笔记本的踪影。王大力这才反应过来,一拍脑袋 “啊呀我去,这货肯定是藏在地下车场了”。此时已经晚了,网络监控已经显示这台笔记本已经断开连接了。
不过,狐狸的尾巴还是露出来了,根据网络监控,就在刚才 翠花 的计算机( 192.168.1.158 )将一些信息通过无线网络发送到 那台笔记本电脑上了 。
“翠花,你这个胆子也是忒大了点了,居然在我眼皮子底下搞事情!”王大力虽然没有抓到现行,但是有了这个这个期间监听到的数据包,料想王翠花这个卧底是没跑了。不过接下来手下的报告却让他又傻眼了。
“我们捕获到了他们通信时的数据包” 公司的网络监控人员向王大力汇报 “但是我们并不知道发生了什么, 这需要专业的网络取证人员。 ”
好了,现在你就是 王大力请来的网络 取证工作人员 李元芳 ,现在 王大力想知道的 就是 到底 翠花 在和谁联系,她 都干了些啥 , 对,你还得回答他下面这些问题:
1 .和 翠花 通信的好友叫什么名字?
2 .在这次通信时发出的第一条消息是什么?
3 . 翠花 传送了一个文件,这个文件的名字为什么?
4 .这个文件中 Magic number 是什么(最前面的 4 个 bytes )
多说一句, Magic number 是啥,是幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般 来说 , 硬盘数据恢复软件 (如 EasyRecovery ),就是靠分析磁盘上的原始数据,然后根据文件 幻数 来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件(真实的文件内容可能没有被覆盖)。
5 .这个文件的 MD5 值为多少?
6 .这个文件的内容是什么?
文件的下载地址 http://forensicscontest.com/contest01/evidence01.pcap 。
我们先来看第一个题目,和 翠花 通信的好友( buddy )叫什么名字?,首先使用 WireShark 打开其中刚刚捕获到的 evidence01.pcap 文件。现在我们可以肯定的是 翠花 使用了某种通信工具在和外界进行通信,那么她使用的是什么呢, ICQ 、 Skype 或者 QQ ? ( 注意其实这个问题在 原来的 题目中已经给出了答案,这里为了 增加难度 ,所以假设事先不知道 ) 这里我们可以在数据包中来一查究竟。经过仔细观察之后,我们除了开始的一些 ARP 和 TCP 数据包之外,第 23 个数据包显示使用了 SSL 协议,这是一个加密的格式,我们猜测这就是 翠花 在和外界通信时产生的数据包。虽然它的内容采用了加密的格式,但是它的 IP 协议头部却给带来了我们了一个惊喜。这个数据包的目的地址是 64.12.24.50 。
图 1 查看到的目的地址
这里 我们 最好为 WireShark 添加显示地理位置的插件, 这样就 可以直接查看这个数据包的目的所在地。
图 2 目的地址的详细信息
这里我们看到了这个数据包发往了 “ AOL Transit Data Network ”,国内的用户对于 AOL 可能有些陌生,不过它在美国可是曾经很有名气的。 不知道没关系,怕啥,有事不明问百度呗! 我们求助搜索引擎,在百度里面搜索 “ AOL 通信工具 ”,很快就得到了有用的信息。
图 3 在百度中搜索到的 AOL 信息
原来 翠花 用 的通信工具 就是 AIM 啊 ,另外我们还查询到了这个工具使用的是 443 端口。那么接下来就好办了, WireShark 中早就已经提供了对 AIM 信息的解析方法。这里我们只需要将 SSL 加密的数据包重新解析为 AIM 格式即可。首先在第 23 个数据包上单击鼠标右键,然后选择“ Decode as ”选项,就可以打开 "Decode As" 对话框了。
图 4 WireShark 的 Decode as 窗口
这个对话框一共分成 5 个部分,第 1 列 Field 表示使用端口的类型,第 2 列 Value 表示使用的端口值,第 3 列 Type 表示类型,第 4 个为默认的解析协议,第 5 个为用户要指定的解析协议。对这里面的进行修改,我们的目的是凡是使用 443 端口的通信都使用 AIM 进行解析。那么将 Field 修改为 TCP Port ,将 Value 修改为 443 ,将 Current 修改为 AIM 。
图 5 将 SSL 加密的数据包重新解析为 AIM 格式
好了设置完成之后,我们就可以单击 Save 按钮保存设置,然后在在数据包列表面板中查看所有的信息。这里面原来显示为 SSL 的数据包,现在都已经显示为 AIM 信息了。
图 6 转换格式之后的数据包
好了现在我们回到第一个问题上来,和 翠花 通信的好友( buddy )叫什么名字?找到第一条“ AIM Messaging ”,也就是第 25 个数据包,展开里面的信息,发现它分成了两层“ AOL Instant Messenger ”和“ AIM Messaging , Outgoing ”,我们依次展开两层,很快就找到了答案。
图 7 显示的 Buddy 字段内容
翠花 联系的好友的名称原来就是 Sec558user1 , 这是啥名啊,一看就不是正经人啊!
好了第 2 个问题在这次通信时发出的第一条消息是什么,这个问题就简单多了,展开第一条 AIM Messaging 这个数据包的 TLV 部分,
图 8 翠花 通信时发出的第一条消息
第 3 个问题, 翠花 传送了一个文件,这个文件的名字叫什么?我们在 WireShark 中使用“ data ”作为显示过滤器来查看哪些数据包中包含了数据。
图 9 使用 “ data ”作为显示过滤器
在这里面选择一个数据包,然后单击鼠标右键选择 Follow>TCP Stream ,打开的窗口如图 10 所示。
图 10 在 TCP 数据流中看到的文件名
好了,其实不用提取这个文件,我们就已经看到了这个文件的名称是 recipe.docx 了。
第 4 个问题,这个文件中 Magic number 是什么(最前面的 4 个 bytes ),这里我们首先需要了解一下它的概念。 Magic number ,即幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般而言, 硬盘数据恢复软件 (如 EasyRecovery ),就是靠分析磁盘上的原始数据,然后根据文件 幻数 来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件。
我们按照第 2 节中介绍的方法将数据流中的文件提取出来,将这个文件保存为 evidence01.raw ,然后使用 winhex 打开,这个文件实际内容是从 recipe.docx 后面开始的,根据题目中给出的提示答案为最前面的 4 个 bytes ,所以为“ 50 4B 03 04 ”。这里面涉及到一些文件格式方面的知识,大家如果感兴趣的话可以去参考一些相关的资料。
图 11 文件最前面的 4 个 bytes
然后我们将这个 PK 前面的部分删除掉,再保存为 recipe.docx 。
图 12 保存的 recipe.docx
5 .这个文件的 MD5 值为多少?
计算 MD5 的值其实和 WireShark 没有什么关系,但是在取证方面却很重要,这相当于给文件添加了一个身份证,以防止它被篡改。
图 13 计算文件的 MD5 值
这个你可以使用任何的 MD5 工具来计算它的 MD5 值,这个题目最后的答案为 8350582774e1d4dbe1d61d64c89e0ea1 。
最后一个问题,这个文件的内容是什么?,在解答第 4 个问题的时候,我们已经将网络中的 TCP 数据流保存成为了 recipe.docx ,现在只需要打开这个 word 文档,就可以看到里面的内容了。
图 14 翠花传送 的 word 文档
好了,整个探案过程到此为止了, 你,也就是李元芳的工作也圆满结束。
王大力看着你做完这一切,长出一口气, “哈哈,翠花,这下我看你还怎么抵赖!”,说完带上几个警卫就直奔翠花的办公室去了。
这正是 “商场谍战风云起,网络神兵显身手”,欲知后事如何,咱们且听下文分解。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。