wireshark网络取证分析
网络取证分析
网络取证题目网站推荐:http://forensicscontest.com/puzzles (里面有很多经典取证题目,很多比赛的题目都是参照这些题目出的)
(1)wireshark恢复传输文件
打开http_with_jpegs.cap
找到http协议的一个数据包:
请求资源是使用http协议,但文件的传输是使用TCP协议,右键单击http数据包,选择跟踪流-TCP数据流,会输出整个会话。
此时选择到本机的数据(响应) 原始数据
save as 为test.bin
使用wenhex打开test.bin
找到content-type的内容,后面的空格的16进制码为0D0A0D0A
此处为分割线,后面的FFD8 FFE0为图片内容的开始,之前的数据全部删除,保存为.jpg文件。打开就可以看见图片内容。
(2)取证实践案例
下载 http://forensicscontest.com/contest01/evidence01.pcap 使用wireshark打开pcap文件,回答下面问题。
1、根据题目提示,Ann的ip为192.168.1.158 找到Ann传送数据开始的地方
题目已经说明Ann使用的通信工具是AIM,wireshark支持AIM解密,选中第23个数据包,右键,解密为,设置好参数,进行解密。
解密结果为
找到协议为AIM为的数据包,找到第一个问题的答案。
2、第二个问题是找到传输的第一个数据包的内容,找到AIMMasage的第一个数据包,点开,找到Message Block,寻找到第一条消息的内容。
3、在筛选过滤栏输入data,进行筛选过滤,选中第一个数据包右键单击,TCP追踪流,查看到文件名称为recipe.docx
4、寻找文件的幻数(文件的前四个字节)
data数据包,右键,跟踪TCP流,选择Ann发送的数据,原始数据,另存为recipt.bin文件使用wenhex打开该文件,找到幻数为504b0304
5、使用工具查看word文件的MD5值
6、删除幻数之前的数据,将文件另存为docx