WireShark網絡取證實錄（1）

每年這個新學期開始的時候，我都會向學生們去安利WireShark，告訴他們這個工具將會打開通往網絡世界的大門。絮叨一番它的各種好處之后，末了還要再加上一句“現在的書不管國內國外大都還是在介紹1.X版的操作，咱們上課時就用2.X版的，這才叫與時俱進！”

今年我仍然打算在啟動WireShark的時候重復這句話，誰知一條“當前Wireshark的最新版本為3.0，是否更新到這個版本”提示不合時宜的跳了出來，讓我那句“這才叫與時俱進”生生的憋了回去。

細想想，要是不改名的話，Wireshark已經20好幾歲了，按說出個8.X也是正常。垂垂老矣的我只能感慨時間過的太快，太多的事情還沒有做。這些年閱讀了高手介紹WireShark在網絡分析的心得，收獲頗豐。但是在WireShark的另一個領域網絡取證方面，去很少有人提及，想想很是可惜，今天拋磚引玉，也來聊聊WireShark的取證功能。

這里我向你推薦一個很有意思的網站“http://forensicscontest.com”這個網站中提供了一些很專業的題目用于幫助我們學習WireShark的使用。國內很多安全類比賽的題目也都源于這個網站。我們來看一下里面提供的第一個網絡取證題目：

“翠花到底干了些啥？！”

行業巨鱷“大富貴”公司懷疑他們的雇員翠花是競爭對手“南天門”公司的臥底。但是發現的太晚了，公司的重要機密，翠花知道的都差不多了。大富貴公司的安全人員王大力擔心翠花有可能會泄露這些機密。咋辦，干掉她，肯定不行啊，這也不是拍電影，報警吧，可是人家翠花也沒干啥啊。

所以這些天可把王大力愁壞了，干脆吧，只要翠花上班，就派人盯著她，可人家翠花不愧是搞無間道的，就是沒有任何的把柄。

不過就在今天，有人開始搞事情了，一個從未使用過的筆記本電腦連接到了大富貴公司的無線網絡中。王大力打算放長線釣大魚，假裝沒發現，一面悄悄的監聽它的通信，一面派人四處在大樓里尋找這臺筆記本電腦。

誰知大樓找遍了，也沒有見到這個筆記本的蹤影。王大力這才反應過來，一拍腦袋“啊呀我去，這貨肯定是藏在地下車場了”。此時已經晚了，網絡監控已經顯示這臺筆記本已經斷開連接了。

不過，狐貍的尾巴還是露出來了，根據網絡監控，就在剛才翠花的計算機（192.168.1.158）將一些信息通過無線網絡發送到那臺筆記本電腦上了。

“翠花，你這個膽子也是忒大了點了，居然在我眼皮子底下搞事情！”王大力雖然沒有抓到現行，但是有了這個這個期間監聽到的數據包，料想王翠花這個臥底是沒跑了。不過接下來手下的報告卻讓他又傻眼了。

“我們捕獲到了他們通信時的數據包”公司的網絡監控人員向王大力匯報“但是我們并不知道發生了什么，這需要專業的網絡取證人員。”

好了，現在你就是王大力請來的網絡取證工作人員李元芳，現在王大力想知道的就是到底翠花在和誰聯系，她都干了些啥，對，你還得回答他下面這些問題：

1．和翠花通信的好友叫什么名字？

2．在這次通信時發出的第一條消息是什么？

3．翠花傳送了一個文件，這個文件的名字為什么？

4．這個文件中Magic number是什么（最前面的4個bytes）

多說一句，Magic number是啥，是幻數，它可以用來標記文件或者協議的格式，很多文件都有幻數標志來表明該文件的格式。一般來說，硬盤數據恢復軟件（如　EasyRecovery），就是靠分析磁盤上的原始數據，然后根據文件幻數來試圖匹配文件格式，從而嘗試識別出磁盤中那些已經從文件系統登記表中刪除的文件（真實的文件內容可能沒有被覆蓋）。

5．這個文件的MD5值為多少？

6．這個文件的內容是什么？

文件的-http://forensicscontest.com/contest01/evidence01.pcap。

我們先來看第一個題目，和翠花通信的好友（buddy）叫什么名字？，首先使用WireShark打開其中剛剛捕獲到的evidence01.pcap文件。現在我們可以肯定的是翠花使用了某種通信工具在和外界進行通信，那么她使用的是什么呢，ICQ、Skype或者QQ？(注意其實這個問題在原來的題目中已經給出了答案，這里為了增加難度，所以假設事先不知道)這里我們可以在數據包中來一查究竟。經過仔細觀察之后，我們除了開始的一些ARP和TCP數據包之外，第23個數據包顯示使用了SSL協議，這是一個加密的格式，我們猜測這就是翠花在和外界通信時產生的數據包。雖然它的內容采用了加密的格式，但是它的IP協議頭部卻給帶來了我們了一個驚喜。這個數據包的目的地址是64.12.24.50。

圖1　查看到的目的地址

這里我們最好為WireShark添加顯示地理位置的插件，這樣就可以直接查看這個數據包的目的所在地。

圖2?目的地址的詳細信息

這里我們看到了這個數據包發往了“AOL Transit Data Network”，國內的用戶對于AOL可能有些陌生，不過它在美國可是曾經很有名氣的。不知道沒關系，怕啥，有事不明問百度唄！我們求助搜索引擎，在百度里面搜索“AOL?通信工具”，很快就得到了有用的信息。

圖3??在百度中搜索到的AOL信息

原來翠花用的通信工具就是AIM啊，另外我們還查詢到了這個工具使用的是443端口。那么接下來就好辦了，WireShark中早就已經提供了對AIM信息的解析方法。這里我們只需要將SSL加密的數據包重新解析為AIM格式即可。首先在第23個數據包上單擊鼠標右鍵，然后選擇“Decode as”選項，就可以打開"Decode As"對話框了。

圖4　WireShark的Decode as?窗口

這個對話框一共分成5個部分，第1列Field表示使用端口的類型，第2列Value表示使用的端口值，第3列Type表示類型，第4個為默認的解析協議，第5個為用戶要指定的解析協議。對這里面的進行修改，我們的目的是凡是使用443端口的通信都使用AIM進行解析。那么將Field修改為TCP Port，將Value修改為443，將Current修改為AIM。

圖5　將SSL加密的數據包重新解析為AIM格式

好了設置完成之后，我們就可以單擊Save按鈕保存設置，然后在在數據包列表面板中查看所有的信息。這里面原來顯示為SSL的數據包，現在都已經顯示為AIM信息了。

圖6　轉換格式之后的數據包

好了現在我們回到第一個問題上來，和翠花通信的好友（buddy）叫什么名字？找到第一條“AIM Messaging”，也就是第25個數據包，展開里面的信息，發現它分成了兩層“AOL Instant Messenger”和“AIM Messaging，Outgoing”，我們依次展開兩層，很快就找到了答案。

圖7　顯示的Buddy字段內容

翠花聯系的好友的名稱原來就是Sec558user1，這是啥名啊，一看就不是正經人啊！

好了第2個問題在這次通信時發出的第一條消息是什么，這個問題就簡單多了，展開第一條AIM Messaging這個數據包的TLV部分，

圖8　翠花通信時發出的第一條消息

第3個問題，翠花傳送了一個文件，這個文件的名字叫什么？我們在WireShark中使用“data”作為顯示過濾器來查看哪些數據包中包含了數據。

圖9　使用“data”作為顯示過濾器

在這里面選擇一個數據包，然后單擊鼠標右鍵選擇Follow>TCP Stream，打開的窗口如圖10所示。

圖10　在TCP數據流中看到的文件名

好了，其實不用提取這個文件，我們就已經看到了這個文件的名稱是recipe.docx了。

第4個問題，這個文件中Magic number是什么（最前面的4個bytes），這里我們首先需要了解一下它的概念。Magic number，即幻數，它可以用來標記文件或者協議的格式，很多文件都有幻數標志來表明該文件的格式。一般而言，硬盤數據恢復軟件（如　EasyRecovery），就是靠分析磁盤上的原始數據，然后根據文件幻數來試圖匹配文件格式，從而嘗試識別出磁盤中那些已經從文件系統登記表中刪除的文件。

我們將數據流中的文件提取出來，將這個文件保存為evidence01.raw，然后使用winhex打開，這個文件實際內容是從recipe.docx后面開始的，根據題目中給出的提示答案為最前面的4個bytes，所以為“50 4B 03 04”。這里面涉及到一些文件格式方面的知識，大家如果感興趣的話可以去參考一些相關的資料。

圖11　文件最前面的4個bytes

然后我們將這個PK前面的部分刪除掉，再保存為recipe.docx。

圖12　保存的recipe.docx

5．這個文件的MD5值為多少？

計算MD5的值其實和WireShark沒有什么關系，但是在取證方面卻很重要，這相當于給文件添加了一個身份證，以防止它被篡改。

圖13　計算文件的MD5值

這個你可以使用任何的MD5工具來計算它的MD5值，這個題目最后的答案為8350582774e1d4dbe1d61d64c89e0ea1。

最后一個問題，這個文件的內容是什么？，在解答第4個問題的時候，我們已經將網絡中的TCP數據流保存成為了recipe.docx，現在只需要打開這個word文檔，就可以看到里面的內容了。

圖14　翠花傳送的word文檔

好了，整個探案過程到此為止了，你，也就是李元芳的工作也圓滿結束。

王大力看著你做完這一切，長出一口氣，“哈哈，翠花，這下我看你還怎么抵賴！”，說完帶上幾個警衛就直奔翠花的辦公室去了。

這正是“商場諜戰風云起，網絡神兵顯身手”，欲知后事如何，咱們且聽下文分解。

本文轉載自異步社區

網絡

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。