WireShark網絡取證實錄（2）

經過“大富貴”公司安全主管王大力的不屑努力，終于將無間道翠花繩之以法。就在翠花被關進了警察局之后不久，律師就把她保釋了出去。可誰成想，翠花居然跑路了。這下可咋整呢？不過好在人家警察也不是吃素的，之前翠花家里的網絡一直都在監控中。（話說，有空監控網絡，為啥人能跑了呢）。根據監控的情況來看，翠花之前沒少和一個叫二狗（原文中是翠花的“?secret lover x?”，代號X）的人聯系。

警察局長十分重視這個案子，把裝有捕獲到數據包文件的U盤擺在你的面前，“元芳，你怎么看？”

好了，現在你的任務是要找出翠花都發了什么郵件，并從中找出她去了哪里，打算干什么，并且給出以下問題的答案：

翠花的電子郵箱地址是什么？

翠花的電子郵箱密碼是什么？

跟翠花接頭的二狗(代號“?secret lover x”)的電子郵箱地址是什么？

翠花囑咐二狗要帶上哪兩樣東西？

翠花發給二狗郵件的附件名字是什么？

翠花發給二狗郵件的附件的MD5是什么？

翠花跟二狗約定好要在哪個國家的哪個城市會合？

文檔中嵌入圖像的MD5值是什么？

下面這個地址給出了裝有捕獲到數據包的文件，你可以對此進行分析來回答以上問題。

http://forensicscontest.com/contest02/evidence02.pcap

打開這個文件，可以看到里面包含了各種類型的數據包，向下拖動滾動條，很快就可以看到SMTP類型的數據包。

曾經這個協議在互聯網也是獨領風騷數十年的，在即時通信工具出現之前，這個協議幾乎包攬了網絡中的全部通信。SMTP是“Simple Mail Transfer Protocol”的縮寫，意義為簡單郵件傳輸協議 。

既然找到了SMTP類型的數據包，那么我們就可以順藤摸瓜，來看看能找到點什么。

首先找到其中的一個SMTP類型的數據包，例如第56個數據包，然后單擊鼠標右鍵，依次選擇“Follow”--“TCP Stream”：

這樣就可以看到整個郵件的內容的了：

仔細查看，很快可以找到MAIL FROM:

得，沒跑了，翠花用的就是這個郵箱！

接下來，我們來看第二個問題，翠花郵箱的密碼是什么？

分析密碼一直是網絡取證中比較有意思的部分，翠花肯定是先登錄郵箱，然后才發送的郵件。

我們從上向下來檢查，很快可以發現一個“235 AUTHENTICATION SUCCESSFUL”，顯然它的含義是“235認證登陸成功“，

那么它上面的”AUTH LOGIN”部分十分有可能就是登陸過程，也就是登陸的用戶名和密碼。

這里特別提一下的是紅顏色的字體表示是由翠花發給服務器的，而藍顏色字體表示是由服務器返回給翠花的。

那么這個334 VXNlcm5hbWU6表示的是什么含義呢？

到這里肯定有一些讀者不知道下一步該怎么做了，沒關系，不明白的就百度唄。你不說，誰知道你百度過了。不過百度也要有基礎的，例如這里面我們該搜索什么呢，“VXNlcm5hbWU6”不是什么東西編碼了，就是加密了。咱們就先用“smtp”+“用戶名和密碼”+“編碼”作為關鍵詞試試。下面給出的是搜索的結果。

有戲了吧，其實上一條記錄也提到了Base64編碼，其實Base64是網絡上最常見的用于傳輸8Bit字節碼的編碼方式之一。

那么既然是編碼，就簡單了，要是加密了就難辦多了。咱們接著找個在線的Base64解碼。

解碼了之后的“VXNlcm5hbWU6”為“username”，?“UGFzc3dvcmQ6”為“password”，“c25lYWt5ZzMza0Bhb2wuY29t”為“sneakyg33k@aol.com”，這看起來就是一個郵箱地址，和之前的結果是一樣的，最后“NTU4cjAwbHo=”解碼之后為“558r00lz”，不用說，這個一定是密碼了。

接下來，我們來看看跟翠花接頭的二狗的電子郵箱地址是什么？

這個問題看起來好像很簡單，因為在咱們通過第56個數據包還原的TCP流中已經看到了一項“RCPT TO::”，哈哈，估計有人一拍腦袋，“這就是二狗的郵箱地址了，沒跑了”。

搞偵破的這樣辦事可不中，我們絕不能放過一個壞人,但也不可冤枉一個好人。這里我們如果就此結案的話，就會犯了一個十分致命的錯誤。

翠花她不一定是就寫了一封郵件啊，說不定她在給二狗寫信之前，突然覺得自己餓了，就先發郵件定了一份燒烤啊，咱們這么一來就把燒烤店可誤會了，看來還得繼續。當然，就看sec558這個名也不是什么普通人。咱們接著往下看，有了上面的基礎，咱們直接上過濾器“SMTP”，然后再回頭來看。

咋樣，看到了吧，這里面RCPT TO的出現了兩次，也就是說翠花一共發了兩封郵件，一份是給sec558@gmail.com的，另一份是發給mistersecretx@aol.com的。瞪大眼睛看，二狗這貨居然真的給自己起名為神秘情人x（mistersecretx），咋想的，他咋不上天呢！看來沒跑了，就是他了！二狗的郵箱就是mistersecretx@aol.com。

第4個問題是，翠花囑咐二狗要帶上哪兩樣東西？這得查看郵件里面的內容了，咱們還是按照剛才的方法，在第二封郵件產生的數據包上點擊，然后導出成TCP流，仔細查看，就可以找到以下的一句話：

大意就是“親啊，帶上你的假護照和泳衣，到附件中的地點來！”，這個二狗是大阪城的姑娘吧，咋不趕著馬車來呢？

第5個問題是，翠花發給二狗郵件的附件名字是什么？

這個好說，很容易就可以在TCP流窗口中找到：

很容易發現附件的名字就是“secretrendezvous.docx”。其實也可以直接用attachment作為關鍵字來搜索。

6.翠花發給二狗郵件的附件的MD5是什么？

7. 翠花跟二狗約定好要在哪個國家的哪個城市會合？

8.文檔中嵌入圖像的MD5值是什么？

剩下的幾個問題都與附件有關，看來我們得先把郵件中的附件弄出來了。通過第5題，我們已經知道了這個文件的名字為secretrendezvous.docx。

下面這些亂七八糟的字符就是附件的內容了。

考慮到這個附件一定是已經通過某種編碼形式才轉換成這些字符的，只要我們知道了這種編碼的格式，然后對其進行解碼就可以了。有基礎的讀者可能直接聯想到base64。

不過如果事先對此一無所知的話，又該如何呢？其實搜索引擎就是最好的老師，不管大牛在某一領域多么風光，換個領域他一樣是個門外漢，所以總會遇到不知道的問題，無所謂，谷歌或百度就好了，大家都是這么過來的。

我們用關鍵詞“郵件附件 編碼”作為關鍵詞，百度一下，可以看到如下的頁面：

這里多謝Y_momo的文章，打開閱讀之后發現里面提到了三種編碼的方式，ASCII碼、quoted-printable、base64編碼，詳細的內容這里不再贅述了，這里的附件就是采用了base64編碼的。

我們可以以此來解碼即可。但是這里有一個問題，跟上一個例子不一樣，我們并不是要把這個base64編碼的字符轉換成可以可以讀懂的字符，而是要將其轉換成一個文件，所以不能簡單的

照搬之前的做法，這里我們需要找一個可以將base64編碼還原成文件的方法，這一點可以通過編程來實現。簡單點的話，我們可以使用在線的轉化工具，下面給出的就是一個這樣的工具：

https://www.motobit.com/util/base64-decoder-encoder.asp

解碼完成之后，就會彈出的一個窗口，將這個文件保存。

使用MD5值計算工具可以得到這個文檔的MD5值為9E423E11DB88F01BBFF81172839E1923。

打開之后，可以看到word的內容為：

里面定好的地點就是墨西哥的Playa del Carmen。

最后的一個問題就是要計算圖片的MD5了，這個題看似最簡單，其實很容易出現問題，如果直接將圖片復制另存的話，就會得到一個不同的答案，在取證過程中應該避免這種做法。

計算得到的結果為“AADEACE50997B1BA24B09AC2EF1940B7”，具體的做法是使用winrar來打開這個word文件：

其中的圖片位于secretrendezvous.docx\word\media ，找到圖片，將其單獨解壓縮出來計算MD5值。

好了，第二部分也正式結束！不過接下來故事中，二狗的戲份要多了

本文轉載自異步社區

網絡 通用安全 高性能計算

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。