wireshark网络取证分析(四)

最新推荐文章于 2024-06-04 14:34:05 发布
最新推荐文章于 2024-06-04 14:34:05 发布
阅读量1.5k 收藏 25
点赞数 2
分类专栏: 工具 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_hristmas/article/details/108154854
版权

wireshark网络取证分析

网络取证分析
网络取证题目网站推荐:http://forensicscontest.com/puzzles (里面有很多经典取证题目,很多比赛的题目都是参照这些题目出的)
在这里插入图片描述
(1)wireshark恢复传输文件
打开http_with_jpegs.cap
找到http协议的一个数据包:
在这里插入图片描述请求资源是使用http协议,但文件的传输是使用TCP协议,右键单击http数据包,选择跟踪流-TCP数据流,会输出整个会话。
在这里插入图片描述此时选择到本机的数据(响应) 原始数据
在这里插入图片描述save as 为test.bin
使用wenhex打开test.bin
在这里插入图片描述找到content-type的内容,后面的空格的16进制码为0D0A0D0A
此处为分割线,后面的FFD8 FFE0为图片内容的开始,之前的数据全部删除,保存为.jpg文件。打开就可以看见图片内容。

(2)取证实践案例
下载 http://forensicscontest.com/contest01/evidence01.pcap 使用wireshark打开pcap文件,回答下面问题。
在这里插入图片描述1、根据题目提示,Ann的ip为192.168.1.158 找到Ann传送数据开始的地方
在这里插入图片描述题目已经说明Ann使用的通信工具是AIM,wireshark支持AIM解密,选中第23个数据包,右键,解密为,设置好参数,进行解密。
在这里插入图片描述解密结果为
在这里插入图片描述找到协议为AIM为的数据包,找到第一个问题的答案。
在这里插入图片描述2、第二个问题是找到传输的第一个数据包的内容,找到AIMMasage的第一个数据包,点开,找到Message Block,寻找到第一条消息的内容。
在这里插入图片描述3、在筛选过滤栏输入data,进行筛选过滤,选中第一个数据包右键单击,TCP追踪流,查看到文件名称为recipe.docx
在这里插入图片描述4、寻找文件的幻数(文件的前四个字节)
data数据包,右键,跟踪TCP流,选择Ann发送的数据,原始数据,另存为recipt.bin文件在这里插入图片描述使用wenhex打开该文件,找到幻数为504b0304
在这里插入图片描述5、使用工具查看word文件的MD5值
在这里插入图片描述
6、删除幻数之前的数据,将文件另存为docx
在这里插入图片描述

c_hristmas
关注
  • 2
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WireShark 网络流量分析抓包工具
09-06
- **取证分析**:在发生安全事件后,Wireshark可以帮助收集证据,确定攻击路径和源头。 4. 故障排查: - **网络延迟**:通过比较数据包的发送和接收时间,找出可能导致延迟的因素。 - **丢包问题**:分析丢包...
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
Wireshark学习笔记(二)取证分析案例详解
Zichel77的博客
06-10 2818
Wireshark信息流量分析实战
6-wireshark网络安全分析——网络取证
网络安全
03-21 3902
1. 通过Wireshark网络取证 Wireshark既然可以解析网络中的各种数据流量,那么通过网络传输协议,例如ftp协议传输的文件数据wireshark也可以对其解析,本质上FTP协议是基于传输层TCP协议的,并且一个完整的文件会分割为多个tcp数据包传输(这些TCP数据包被称为TCP流),wireshark工具就提供了一个“流跟踪(TCP Stream)”功能。 这个功能在我们需...
【电子取证Wireshark教程:从流量包中导出文件
最新发布
longxintec的博客
06-04 1338
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
Wireshark网络安全之传输层安全-取证实践-以一道题为例
qq_43776408的博客
06-30 760
关于取证的很多题你可以在 以下网站找到 我们选取第一个题 题目意思大致是某公司Ann走了,安全团队怀疑Ann偷走了数据。于是安全团队开始监控Ann的行为 有一天,一个从未使用的笔记本使用工具AIM连接到了公司的无线网络上,但是Ann的计算机一直处于公司网络下 现在安全团队捕获了那个从未使用笔记本的数据包,现在我们来分析 提示:未知电脑IP是192.168.1.158 数据包在原文后有下载的 以下是数据包内容 //////////////////////////// 第一步:找Ann的通信好友名称 找到S
13.wireshark学习-wireshark网络取证
Daylight
07-15 1241
13.wireshark网络取证 既然用户可能是使用各种不同的应用程序传输的文件,为什么Wireshark都可以对其进行解析呢,有人可能会此感到困惑。其实这些应用程序在应用层可能使用不同的协议。 但是它们在传输数据时传输层采用的大多数采用的是TCP协议,只不过一个完整的文件会被分割成多个数据包进行传输。这些有顺序的数据包就被称作流,而Wireshark中提供了一个“流跟踪(TCPStream) "功能。利用这个功能,Wireshark就可以将捕获到所有的通信数据包重组成完整的会话或者文件。 实例数据包下载:
Wireshark-v3.2.2网络封包分析软件.zip
11-19
9. **网络取证**:对于网络安全事件,可以捕获和分析数据包以寻找攻击痕迹。 10. **插件扩展**:可以通过安装额外的插件来增加对新协议或功能的支持。 在Wireshark v3.2.2这个版本中,可能包含了一些改进和修复,...
Wireshark网络分析实战
09-09
7. **数据包嗅探与取证分析**:Wireshark也能用于数据包嗅探和网络取证,书中可能介绍这些领域的应用和技术。 通过阅读《Wireshark网络分析实战》,读者不仅能够掌握Wireshark的使用,还能深化对网络协议的理解,...
数据包分析 infiltration
m0_46239567的博客
05-10 842
6.分析出被渗透主机的服务器系统 OS 版本全称是什么是,并将 OS 版本全称 作为 Flag(形式:[服务器系统 OS 版本全称])提交; 过滤出系统关键字 发现末尾又两个telnet流量 追踪流发现具体的系统版本和账号密码 1登录 FTP 下载数据包文件 infiltration.pacapng,找出恶意用户的 IP 地 址,并将恶意用户的 IP 地址作为 Flag(形式:[IP 地址])提交; 查看上题......
中职组“网络安全”数据包分析
wanjia01的博客
04-04 1534
这里我就拿几个数据包进行分析。(具体数据包可私信获取。) 任务三:数据分析-A 任务环境说明:  渗透机场景:windows 7  渗透机用户名:administrator,密码:123456 通过分析windows 7桌面上的数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为FLAG提交; 通过分析数据包A.pcapng,找到黑客扫描的网段范围是多少(IP之间用”,”隔开,例:192.168.1.1-192.168.1.2)将该范围作为FLAG提交; 通过分析数据包A.pc
基于神经网络图像取证:资源汇总
慎独
01-16 3320
最近在做深度学习的图像取证工作,做一下资源的汇总和科普、文献的总结工作 1.对图像取证技术的总结 “谁动了我的图片?” – 图像取证技术 文中主要介绍了几种不同的图像取证方法,简述如下: I. copy-move 检测方法 检测原理: 同一幅图像中检测到大块相同的内容 技术手段: 稀疏特征点(SIFT)的判断;基于图像块的图像匹配算法 II. 传感器噪声取证 ...
网络取证、九章实验
Dreamer_jane的博客
12-16 1306
网络取证章案例 一、Ann的异常即时通信【TCP、UDP】 1.课本案例 利用封装协议中的信息 0X4500 IPV4协议数据包的开始 利用TCP/UDP端口号,与默认的标准服务相对应 分析源或目标服务器的功能(通过IP地址或主机名进行指定) 测试已知协议结构可能的信息 工具 1.手动挖掘传输文件 tcpxtract 通过文件特征提取及重组网络流中所负载的数据流 与foremost相似 tcpxtract -f 文件名 -o output_dir/【导出到指定的目录中】
7-wireshark网络安全分析——网络取证
网络安全
03-23 2614
如果大家想要学习更多关于网络取证的内容,这里给大家推荐一个网站:http://forensicscontest.com/, 这个网站里提供了很多非常专业,关于wireshark进行网络取证的题目,感兴趣的同学可以做一下这上面的题目。 我们先来看第一题: Anarchy-R-Us, Inc. suspects that one of their employees, Ann Derco...
【Java入门】java基础入门
weixin_44755983的博客
09-08 185
Java入门 一、规范 public:表示这个类是公共类,一个java文件中只能有一个public类 class:表示这是一个类 类名:公共类的类名必须和文件名一致 二、 Hello.java public class Hello { // 一个主函数,相当于程序的入口 public static void main(String arg[]) { // 执行语句 System.out.println("Hello world!") } } 三、在控制台运行 1.编译:javac He
流量取证-提取文件
weixin_41082546的博客
03-24 1422
PCAP 报文就是抓取实际在网络中传输的图片,视频等数据,然后以PCAP 格式存储形成的文件。工作中对离线的数据包进行回溯分析,有时会遇到将 PCAP 中的码流还原成相应的图片、视频、邮件等原有格式的需求。 从流量中取证文件大部分情况下是为了提取流量中的可执行程序。 1、 tcpxtract 安装: apt-get install tcpxtract http://www.rpmfind...
Wireshark抓包入门到精通实战教程
03-06
学习利用抓包神器Wireshark分析网络故障,了解网络协议原理,注重实战分析案例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值