如果大家想要学习更多关于网络取证的内容,这里给大家推荐一个网站:http://forensicscontest.com/ , 这个网站里提供了很多非常专业,关于wireshark进行网络取证的题目,感兴趣的同学可以做一下这上面的题目。
我们先来看第一题:
Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s secret recipe.
Security staff have been monitoring Ann’s activity for some time, but haven’t found anything suspicious– until now. Today an unexpected laptop briefly appeared on the company wireless network. Staff hypothesize it may have been someone in the parking lot, because no strangers were seen in the building. Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. The rogue laptop disappeared shortly thereafter.
“We have a packet capture of the activity,” said security staff, “but we can’t figure out what’s going on. Can you help?”
You are the forensic investigator. Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?Here is your evidence file:
点击链接下载实验的数据包,并用wireshark工具打开:
根据题目的描述Ann的电脑ip是192.168.1.158,通过wireshark分析发现了一个可疑的数据包:Ann的电脑向一个陌生的ip地址64.12.24.50发送了一个数据包,SSL是早期的一种用于网络通信加密的安全协议。
通过ip查询工具输入ip查询,结果显示这个ip是属于美国AOL公司的,并且AIM是美国AOL公司的一个即时通信软件。
因此我们可以推测Ann是使用AIM通信软件,那么可以通过wireshark对数据包进行解码,选中23数据包右键选择解码为,如下所示:
由于SSL协议的数据包是基于TCP协议传输的,那么在字段中选择TCP port,端口的值选择443端口,当前字段选择AIM,然后点击OK。
解码完后,wireshark中所有的SSL协议的数据包都被解析为AIM协议数据包,其数据包封装格式如下:
23应该是Ann登录AIM通信软件时发送的第一个AIM协议的数据包,第二个AIM协议数据包使用了AIM Messaging协议封装,那么直接从25数据包开始分析。
Frame 25封装格式如下:
在分析之前,我们回到题目中的第一个问题:What is the name of Ann’s IM buddy ?(翻译过来大概就是:跟Ann通信的好友IM buddy名字是什么) , 从AIM Messaging协议来看,跟Ann通信的对方的IM Buddy Name是Sec558user1。 在ValueMessage中就是Ann给对方发送的第一条IM消息。
从这条IM消息来看,Ann秘密下载了一份文件传送给了对方,根据题目中第三个问题,我们需要知道Ann下载的文件名字叫什么。
在显示过滤器中输入data进行过滤,Ann所在的主机向一个ip地址发送了大量数据包,而这些数据包有可能就是Ann传输文件时产生的。
使用wireshark的TCP“流”追踪功能,如下所示:
在整个会话过程中,我们重点关注红色部分的数据,其中recipe.docx这段就代表着传输的文件,而.docx就是传输的文件格式的后缀,也就是说Ann秘密传输的文件名就叫recipe.docx。然后选择保存数据为原始数据,文件另存为recipe.bin格式。
使用WinHex工具打开recipe.bin文件,并删除选中的部分,然后把文件另存为recipe.docx文件,如下所示:
找到并打开recipe.docx文件,查看文件内容:
