wireshark取证案例学习笔记

此文对应wireshark取证分析练习题前5道
题目来源，及PACP包下载地址
自己学习的一点笔记和心得，记录下来以免遗忘。

练习题1的任务书解答

某公司怀疑其雇员张小花是其竞争对手派来的商业间谍。张小花访问了公司的一个机密配方，安保人员担心张小花会泄露这份配方。

安保人员已经监视张小花一段时间了，但没有发现任何可疑的事情。但是今天，一个不同寻常的笔记本连入了公司的无线网络。今天公司大楼里没有出现陌生人，安保人员怀疑是有人在停车场连入了内网。张小花的电脑（192.168.1.158）通过无线网向这台笔记本发送了即时消息（IM）。不久，这台笔记本的联网信号就消失不见了。
安保人员说：“我们截获了这个事件的网络数据包，但是我们不知道接下来该怎么办了。你能提供帮助吗？”

你的任务是找出张小花和谁发消息了，发送了什么，并还原证据。问题包括：

1、张小花的通信对象叫什么名字？
Sec558user1
2、在IM会话过程中，捕获到的第一条信息内容是什么？
Message: Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go >:-)
3、张小花要传输的文件名是什么？
recipe.docx
4、这类文件的头部特征值（magic number）是什么？（前四个字节）
50 4B 03 04
5、该文件的md5值是多少？

6、该文件所记载的机密配方内容是什么？
1 serving
Ingredients:
4 cups sugar
2 cups water
In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.

分析过程

第25个包，显示有聊天内容，追踪TCP流

根据题目，使用的是AIM聊天工具，尝试解码

显示出buddy的名字为Sec558user1

另存为xxx.bin文件，然后是使用imhex打开2进制文件。
删除幻数PK之前的字段，得到文件的原始二进制数据，另存为DOCX文件即可

练习题2的任务书解答

在被保释释放以后，张小花消失了！幸运的是，在她消失之前，侦查人员一直在监视她的网络。

侦探长说：“我们相信张小花在离开前会和她的秘密情人王大胖联系。这个捕获的数据包中有她下落的线索。”

你的任务是找出张小花发了什么邮件，她去了哪里，并还原一切线索。问题包括：

1、张小花的email地址是什么？
sneakyg33k@aol.com
2、张小花的email密码是什么？
558r00lz
3、张小花的秘密情人的email地址是什么？
mistersecretx@aol.com
4、张小花要她的情人带上哪两样东西？
fake passport 。 bathing suit
5、张小花发给她情人的邮件附件的文件名是什么？
secretrendezvous.docx
6、该文件的md5值是多少？

9e423e11db88f01bbff81172839e1923 secretrendezvous.docx

7、他们约会地点所在的国家和城市是哪里？
playa del carmen
8、嵌入在文档中的图片的md5值多少？
aadeace50997b1ba24b09ac2ef1940b7 image1.png

分析过程：
SMTP过滤
筛选出会话，base64解密用户名和密码
根据会话跟踪TCP流。
Data过滤
提取数据保存为eml格式邮件，打开。（docx出现乱码，因为有base64加密数据）

提取邮件附件。

图片的md5不能另存为进行md5校验，可以使用压缩软件，当使用Winrar打开后会发现图片是单独的，解压出来，进行校验

练习题3的任务书解答

张小花和王大胖正在酝酿新的行动。在等待引渡文件准备的时间里，你和你的团队继续密密地监控她的行为。最近，张小花买了一台崭新的AppleTV，其静态IP地址配置为192.168.1.10。你捕获到了最后一次活动的网络包。

你的任务是找出张小花在搜索什么，了解她的兴趣所在，并找到以下问题的答案：

1、张小花的AppleTV的MAC地址是什么？
Address: Apple_fe:07:c4 (00:25:00:fe:07:c4)

2、她的AppleTV发出HTTP请求时，User-Agent字段的值是什么？
AppleTV/2.4

3、她使用AppleTV进行的前四次搜索，关键词是什么？
h
ha
hac
hack
4、她点开第一个电影的标题是什么？
Hackers

5、该电影预告片的完整URL是什么？（由preview-url字段定义）

http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb…640x278.h264lc.d2.p.m4v
6、她点开第二个电影的标题是什么？
Sneakers

7、购买这个电影需要花多少钱？（由price-display字段定义）
$9.99
7、她最后搜索的词是什么？
iknowyourewatchingme

分析过程：
追踪TCP流，在第二个流发现搜索记录

过滤HTTP
发现movie id 的请求信息

追踪流
搜索preview-url关键字

继续查找含有movie ID的请求，在tcp.stream eq 13 找到目标

发现第二个电影名称

搜索price-display关键字，找到电影价钱

过滤HTTP请求信息，根据上面的几道题的经验得出搜索时应含有关键字Movies-Search
查找含有search参数的URI
http.request.uri contains “Movies-Search”

找到最后一次搜索记录
iknowyourewatchingme

练习题4的任务书解答

在逃亡期间，王大胖入侵了某原子能机构实验室的子网。进入子网后，他做了一些侦查扫描。很可惜，他做得还不够隐秘。

实验室的网络设施会捕获所有的网络流量（包括全部数据）。王大胖的行为已经被发现了，现在轮到你来进行分析。

下面是包含了王大胖的行为的捕获数据包。你的任务是回答下列问题：

1、王大胖的扫描器的IP地址是什么？
10.42.42.253
2、王大胖的第一次端口扫描，是什么类型的扫描方式？选择下列之一：
TCP SYN
TCP ACK
UDP
TCP Connect
TCP XMAS
TCP RST

3、王大胖最后发现的多个目标的IP地址分别是什么？
10.42.42.25
10.42.42.50
10.42.42.56

4、他发现的苹果系统的MAC地址是多少？
Apple_92:6e:dc (00:16:cb:92:6e:dc)
5、他发现的Windows系统的IP地址是多少？
10.42.42.50
6、该Windows系统中哪些TCP端口打开了？
135 139
7、王大胖使用了什么扫描工具？
Nmap
8、你是如何确定他使用上述工具的？
窗口大小为 31337 的 SYN 数据包
分析过程：

统计–会话，

右键过滤器A<–>B，看到135和139端口的信息，确认为windows
…SMBr…@…@…PC NETWORK PROGRAM 1.0…MICROSOFT NETWORKS 1.03…MICROSOFT NETWORKS 3.0…LANMAN1.0…LM1.2X002…Samba…NT LANMAN 1.0…NT LM 0.12

tcp.window_size==31337的SYN数据包为NMAP特有

练习题5的任务书解答

早上，张发财女士打开邮箱，开始处理前一天晚上收到的邮件。有一封信引起了她的注意，它显然是垃圾邮件，但躲过了邮箱的邮件过滤。这封邮件里宣扬了在线购买药品的好处，并包含了到一个在线药店的链接。“人们真的会掉到这样的陷阱里去吗？”张发财女士这么想。她决定搞清楚这个网站是怎么骗人汇款的，所以点进去看了看。

这个网站加载起来很慢，而且看上去页面已经坏了，里面没有任何内容。没意思，张发财女士关掉了浏览器窗口，然后开始一天的工作。

她不知道，她的Windows XP系统已经被感染了。

你的任务是通过分析pcap文件，找出张发财女士点击了链接后，计算机系统发生了什么。问题包括：

1、在感染过程中，浏览器下载了两个Java applet。实现这些applet的两个.jar文件的文件名是什么？
q.jar sdfg.jar
2、张发财女士的Windows系统用户名是什么？
ADMINISTRATOR
3、她点了哪个网址？
http://nrtjo.eu/true.php
4、在感染过程中，一个恶意的Windows可执行文件被下载到计算机之中，这个文件的MD5是多少？
5942ba36cf732097479c51986eee91ed

5、这个可执行文件被加了什么壳？
UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
6、上述恶意可执行文件脱壳后的MD5是多少？（提示：结果后四位为b96e）
7、该文件运行后会尝试连接到其内部硬编码的一个IP地址之中（而不是用DNS来解析）。这个IP地址是多少？

分析过程：
过滤HTTP请求信息，找到第一问、第二问和第三问

data过滤
找到传输EXE的包，根据幻数导出exe文件。

第6、7问暂未学习到，后续学到再完善此文。