WireShark网络取证实录(1)

举报
xenia 发表于 2019/09/04 06:59:07 2019/09/04
【摘要】 每年这个新学期开始的时候,我都会向学生们去安利WireShark,告诉他们这个工具将会打开通往网络世界的大门。絮叨一番它的各种好处之后,末了还要再加上一句“现在的书不管国内国外大都还是在介绍1.X版的操作,咱们上课时就用2.X版的,这才叫与时俱进!”今年我仍然打算在启动WireShark的时候重复这句话,谁知一条“当前Wireshark的最新版本为3.0,是否更新到这个版本”提示不合时宜的跳...

每年这个新学期开始的时候,我都会向学生们去安利WireShark,告诉他们这个工具将会打开通往网络世界的大门。絮叨一番它的各种好处之后,末了还要再加上一句“现在的书不管国内国外大都还是在介绍1.X版的操作,咱们上课时就用2.X版的,这才叫与时俱进!”

今年我仍然打算在启动WireShark的时候重复这句话,谁知一条“当前Wireshark的最新版本为3.0,是否更新到这个版本”提示不合时宜的跳了出来,让我那句“这才叫与时俱进”生生的憋了回去。

细想想,要是不改名的话,Wireshark已经20好几岁了,按说出个8.X也是正常。垂垂老矣的我只能感慨时间过的太快,太多的事情还没有做。这些年阅读了高手介绍WireShark在网络分析的心得,收获颇丰。但是在WireShark的另一个领域网络取证方面,去很少有人提及,想想很是可惜,今天抛砖引玉,也来聊聊WireShark的取证功能。

这里我向你推荐一个很有意思的网站http://forensicscontest.com这个网站中提供了一些很专业的题目用于帮助我们学习WireShark的使用。国内很多安全类比赛的题目也都源于这个网站。我们来看一下里面提供的第一个网络取证题目:

“翠花到底干了些啥?!

行业巨鳄“大富贵”公司怀疑他们的雇员翠花竞争对手“南天门”公司的卧底。但是发现的太晚了,公司的重要机密翠花知道的都差不多了。大富贵公司的安全人员王大力担心翠花有可能会泄露这些机密。咋办,干掉她,肯定不行啊,这也不是拍电影,报警吧,可是人家翠花也没干啥啊。

所以这些天可把王大力愁坏了,干脆吧,只要翠花上班,就派人盯着她,可人家翠花不愧是搞无间道的,就是没有任何的把柄

不过就在今天有人开始搞事情了,一个从未使用过的笔记本电脑连接到了大富贵公司的无线网络中王大力打算放长线钓大鱼,假装没发现,一面悄悄的监听它的通信,一面派人四处在大楼里寻找这台笔记本电脑。

谁知大楼找遍了,也没有见到这个笔记本的踪影。王大力这才反应过来,一拍脑袋“啊呀我去,这货肯定是藏在地下车场了”。此时已经晚了,网络监控已经显示这台笔记本已经断开连接了。

不过,狐狸的尾巴还是露出来了,根据网络监控,就在刚才翠花的计算机(192.168.1.158)将一些信息通过无线网络发送到那台笔记本电脑上了

“翠花,你这个胆子也是忒大了点了,居然在我眼皮子底下搞事情!”王大力虽然没有抓到现行,但是有了这个这个期间监听到的数据包,料想王翠花这个卧底是没跑了。不过接下来手下的报告却让他又傻眼了。

“我们捕获到了他们通信时的数据包”公司的网络监控人员向王大力汇报“但是我们并不知道发生了什么,这需要专业的网络取证人员。

好了,现在你就是王大力请来的网络取证工作人员李元芳,现在王大力想知道的就是到底翠花在和谁联系,她都干了些啥对,你还得回答他下面这些问题:

1.和翠花通信的好友叫什么名字?

2.在这次通信时发出的第一条消息是什么?

3.翠花传送了一个文件,这个文件的名字为什么?

4.这个文件中Magic number是什么(最前面的4bytes

多说一句,Magic number是啥,是幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般来说硬盘数据恢复软件(如 EasyRecovery),就是靠分析磁盘上的原始数据,然后根据文件幻数来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件(真实的文件内容可能没有被覆盖)。

5.这个文件的MD5值为多少?

6.这个文件的内容是什么?

文件的下载地址http://forensicscontest.com/contest01/evidence01.pcap

我们先来看第一个题目,和翠花通信的好友(buddy)叫什么名字?,首先使用WireShark打开其中刚刚捕获到的evidence01.pcap文件。现在我们可以肯定的是翠花使用了某种通信工具在和外界进行通信,那么她使用的是什么呢,ICQ、Skype或者QQ(注意其实这个问题在原来的题目中已经给出了答案,这里为了增加难度,所以假设事先不知道)这里我们可以在数据包中来一查究竟。经过仔细观察之后,我们除了开始的一些ARPTCP数据包之外,第23个数据包显示使用了SSL协议,这是一个加密的格式,我们猜测这就是翠花在和外界通信时产生的数据包。虽然它的内容采用了加密的格式,但是它的IP协议头部却给带来了我们了一个惊喜。这个数据包的目的地址是64.12.24.50

 

1552319153936064101.png

图1 查看到的目的地址

这里我们最好为WireShark添加显示地理位置的插件,这样就可以直接查看这个数据包的目的所在地。

 

1552319170395096329.png

2 目的地址的详细信息

这里我们看到了这个数据包发往了“AOL Transit Data Network”,国内的用户对于AOL可能有些陌生,不过它在美国可是曾经很有名气的。不知道没关系,怕啥,有事不明问百度呗!我们求助搜索引擎,在百度里面搜索“AOL 通信工具”,很快就得到了有用的信息。

 

1552319182587004378.png

3  在百度中搜索到的AOL信息

原来翠花的通信工具就是AIM,另外我们还查询到了这个工具使用的是443端口。那么接下来就好办了,WireShark中早就已经提供了对AIM信息的解析方法。这里我们只需要将SSL加密的数据包重新解析为AIM格式即可。首先在第23个数据包上单击鼠标右键,然后选择“Decode as”选项,就可以打开"Decode As"对话框了。

 

1552319197411066142.png

4 WireShark的Decode as 窗口

这个对话框一共分成5个部分,第1Field表示使用端口的类型,第2Value表示使用的端口值,第3Type表示类型,第4个为默认的解析协议,第5个为用户要指定的解析协议。对这里面的进行修改,我们的目的是凡是使用443端口的通信都使用AIM进行解析。那么将Field修改为TCP Port,将Value修改为443,将Current修改为AIM

 

1552319207971033220.png

5 将SSL加密的数据包重新解析为AIM格式

好了设置完成之后,我们就可以单击Save按钮保存设置,然后在在数据包列表面板中查看所有的信息。这里面原来显示为SSL的数据包,现在都已经显示为AIM信息了。

 

1552319215628035234.png

6 转换格式之后的数据包

好了现在我们回到第一个问题上来,和翠花通信的好友(buddy)叫什么名字?找到第一条“AIM Messaging”,也就是第25个数据包,展开里面的信息,发现它分成了两层“AOL Instant Messenger”和“AIM MessagingOutgoing”,我们依次展开两层,很快就找到了答案。

 

1552319223026057400.png

7 显示的Buddy字段内容

翠花联系的好友的名称原来就是Sec558user1这是啥名啊,一看就不是正经人啊!

好了第2个问题在这次通信时发出的第一条消息是什么,这个问题就简单多了,展开第一条AIM Messaging这个数据包的TLV部分,

 

1552319233601041228.png

8 翠花通信时发出的第一条消息

第3个问题,翠花传送了一个文件,这个文件的名字叫什么?我们在WireShark中使用“data”作为显示过滤器来查看哪些数据包中包含了数据。

 

1552319243147087611.png

9 使用“data”作为显示过滤器

在这里面选择一个数据包,然后单击鼠标右键选择Follow>TCP Stream,打开的窗口如图10所示。

 

1552319250856022673.png

10 在TCP数据流中看到的文件名

好了,其实不用提取这个文件,我们就已经看到了这个文件的名称是recipe.docx了。

第4个问题,这个文件中Magic number是什么(最前面的4bytes),这里我们首先需要了解一下它的概念。Magic number,即幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般而言,硬盘数据恢复软件(如 EasyRecovery),就是靠分析磁盘上的原始数据,然后根据文件幻数来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件。

我们将数据流中的文件提取出来,将这个文件保存为evidence01.raw,然后使用winhex打开,这个文件实际内容是从recipe.docx后面开始的,根据题目中给出的提示答案为最前面的4bytes,所以为“50 4B 03 04”。这里面涉及到一些文件格式方面的知识,大家如果感兴趣的话可以去参考一些相关的资料。

 

1552319271298080469.png

11 文件最前面的4个bytes

然后我们将这个PK前面的部分删除掉,再保存为recipe.docx

 

1552319290424051773.png

12 保存的recipe.docx

5.这个文件的MD5值为多少?

计算MD5的值其实和WireShark没有什么关系,但是在取证方面却很重要,这相当于给文件添加了一个身份证,以防止它被篡改。

 

1552319306078023076.png

图13 计算文件的MD5

这个你可以使用任何的MD5工具来计算它的MD5值,这个题目最后的答案为8350582774e1d4dbe1d61d64c89e0ea1

最后一个问题,这个文件的内容是什么?,在解答第4个问题的时候,我们已经将网络中的TCP数据流保存成为了recipe.docx,现在只需要打开这个word文档,就可以看到里面的内容了。

 

1552319317538059881.png

14 翠花传送的word文档

好了,整个探案过程到此为止了,你,也就是李元芳的工作也圆满结束。

王大力看着你做完这一切,长出一口气,“哈哈,翠花,这下我看你还怎么抵赖!”,说完带上几个警卫就直奔翠花的办公室去了。

这正是“商场谍战风云起,网络神兵显身手”,欲知后事如何,咱们且听下文分解。


本文转载自异步社区

原文链接:https://www.epubit.com/articleDetails?id=N9573c131-4c32-4e95-b092-ae2317cfb785

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。