编者按:随着手机电子数据取证技术的不断发展,手机取证已经不再局限于传统的获取手机中已记录的数据。对手机电子数据取证而言,也可以从网络方面入手,通过网络协议解析出手机中的相关数据。本期,数据恢复四川省重点实验室科研人员将介绍如何通过路由器抓包提取手机数据。
一、背景介绍
当用户使用手机访问网络时,手机在不断接受与发送数据包,而这些数据包中包含了大量的用户信息,包括各种账号信息、聊天信息、发送接收文件、邮件、浏览的网页等。虽然很多信息是加密传输的,但还是会有大量信息是明文传输或者经过分析可以解密的,如账号信息、文件、邮件、部分聊天信息等。这些数据包都会通过路由器进行分发,我们只需要对路由器进行抓包和分析,就能提取到用户的各种信息,而不需要在用户手机中安装应用插件。
二、环境搭建
在有无线网卡的电脑上利用网桥模式搭建好路由器,也可以利用360免费wifi提供一个热点,这样就可以抓取到连接上WiFi的手机发送的网络数据包。
三、如何抓网络数据包
目前市面上有很多抓包工具,比如Wireshark就是其中比较成熟的一款,除了抓包以外还配带一些简单分析的工具。这些抓包工具的原理都是通过winpcap提供的强大的编程接口来实现,下面以Wireshark为例,讲解如何进行网络数据抓包。
首先,打开软件配置,网络抓包所需参数,如图1。在比较熟悉协议的情况下,可选择过滤器