首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

7wireshark网络安全分析——网络取证二

作者:李淑宝彦豪俊嵐 | 来源:互联网 | 2023-08-16 23:43
如果大家想要学习更多关于网络取证的内容,这里给大家推荐一个网站:http:forensicscontest.com,这个网站里提供了很多非

如果大家想要学习更多关于网络取证的内容,这里给大家推荐一个网站:http://forensicscontest.com/ , 这个网站里提供了很多非常专业,关于wireshark进行网络取证的题目,感兴趣的同学可以做一下这上面的题目。

 

我们先来看第一题:


Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s secret recipe.

Security staff have been monitoring Ann’s activity for some time, but haven’t found anything suspicious– until now. Today an unexpected laptop briefly appeared on the company wireless network. Staff hypothesize it may have been someone in the parking lot, because no strangers were seen in the building. Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. The rogue laptop disappeared shortly thereafter.

“We have a packet capture of the activity,” said security staff, “but we can’t figure out what’s going on. Can you help?”

 

You are the forensic investigator. Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:

1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?

 

Here is your evidence file:

http://forensicscontest.com/contest01/evidence01.pcap


 

 

点击链接下载实验的数据包,用wireshark工具打开:

根据题目的描述Ann的电脑ip是192.168.1.158,通过wireshark分析发现了一个可疑的数据包:Ann的电脑向一个陌生的ip地址64.12.24.50发送了一个数据包,SSL是早期的一种用于网络通信加密的安全协议。

 

 

通过ip查询工具输入ip查询,结果显示这个ip是属于美国AOL公司的,AIM是美国AOL公司的一个即时通信软件。

 

 

因此我们可以推测Ann是使用AIM通信软件,通过wireshark对数据包进行解码,选中23数据包右键选择解码为,如下所示:

 

由于SSL协议的数据包是基于TCP协议传输的,在字段中选择TCP port,端口的值选择443端口,当前字段选择AIM,然后点击OK。

 

 

解码完后,wireshark中所有的SSL协议的数据包都被解析为AIM协议数据包,其数据包封装格式如下:

23应该是Ann登录AIM通信软件时发送的第一个AIM协议的数据包,第二个AIM协议数据包使用了AIM Messaging协议封装,那么直接从25数据包开始分析。

 

 

Frame 25封装格式如下:

在分析之前,我们回到题目中的第一个问题:What is the name of Ann’s IM buddy ?(翻译过来大概就是:跟Ann通信的好友IM buddy名字是什么) , 从AIM Messaging协议来看,跟Ann通信的对方的IM Buddy Name是Sec558user1。 在ValueMessage中就是Ann给对方发送的第一条IM消息。

 

从这条IM消息来看,Ann秘密下载了一份文件传送给了对方,根据题目中第三个问题,我们需要知道Ann下载的文件名字叫什么。

现在我们知道Ann的电脑ip地址是192.168.1.158,那么就可以先从Ann的电脑开始分析,在wireshark过滤地址栏中输入ip.host==192.168.1.158 && data,这个过滤语句表示,我们要分析192.168.1.158地址的带有数据的流量包:

可以看到Ann的电脑有一段异常的数据包。Ann所在的主机向一个ip地址发送了大量数据包,而这些数据包有可能就是Ann传输文件时产生的。我们可以对这一段数据包进行右键追踪流--->TCP流,分析整个会话的流量。

 

 

使用wireshark的TCP“流”追踪功能,如下所示:

在整个会话过程中,我们重点关注红色部分的数据,其中recipe.docx这段就代表着传输的文件,而.docx就是传输的文件格式的后缀,也就是说Ann秘密传输的文件名就叫recipe.docx。然后选择保存数据为原始数据,文件另存为recipe.bin格式。

 

 

使用WinHex工具打开recipe.bin文件,并删除选中的部分,然后把文件另存为recipe.docx文件,如下所示:

 

找到并打开recipe.docx文件,查看文件内容:

 

 


推荐阅读
  • sum

    参会必备| ETHDenver 2023 周边活动日程一览

    ForesightNews整理了ETHDenver2023日程及其周边活动供读者参考。 整理: ... [详细]
  • sum

    计算机网络四

    计算机网络四
    大三上结束之际,从网上找来一些关于计算机网络的知识作为总结,本文四篇笔记全部转自猪头任(博客地址:http:www.cnbl ... [详细]
  • sum

    Docker从安装到入门到项目部署

    Docker从安装到入门到项目部署
    容器化的时代你怎么可 ... [详细]
  • sum

    硬件运维:Dell PowerEdge RAID控制器存在一个潜在问题

    来自DELL的一封信件DellPowerEdge控制器通知尊贵的Dell客户:Dell承诺,将主动通知客户有关从Dell或Dell授权经销商处购买的产品的重要更新事宜 ... [详细]
  • php

    jenkins+svn+tomcat

    1、安装插件即可在源码管理中看见svn的选项subversion2、源码管理中配置svn的工程地址  3、点击Credentials的【添加】配置svn的用户名密码,完成后选取即可 ... [详细]
  • sum

    Android JNI学习之Concepts

    Android JNI学习之Concepts
    2019独角兽企业重金招聘Python工程师标准ConceptsBeforeBeginningThisguideassumesthatyouare:Alreadyfamili ... [详细]
  • php

    简单理解rsa的加密和签名PHP实现

    简单理解rsa的加密和签名PHP实现
    我们先动手在linux上生成一下rsaPs:openssl是一堆加密算法和安全协议的开源集合,像RSA,DES,MD5,RC4等等,都能在openssl里面找到源代码 ... [详细]
  • jsp

    使用 Nginx 配置jsp服务器

    Nginx简介Nginx(enginex)是一个高性能的HTTP和反向代理服务器,也是一个IMAPPOP3SMTP代理服务器。Nginx是由IgorSysoev为 ... [详细]
  • sum

    【scrapy】爬取汽车车型数据

    【scrapy】爬取汽车车型数据
    汽车最近想在工作相关的项目上做技术改进,需要全而准的车型数据,寻寻觅觅而不得,所以就只能自己动手丰衣足食,到网上获(窃)得(取)数据了。汽车之家是大家公认的数据做的比较好的汽车网站 ... [详细]
  • sum

    安装Nginx时报错 the HTTP cache module requires md5 functions

    安装Nginx时报错.configure:error:theHTTPrewritemodulerequiresthePCRElibrary.安装pcre-devel解决问题yum- ... [详细]
  • list

    在Kubernetes上部署JupyterHub的步骤和实验依赖

    在Kubernetes上部署JupyterHub的步骤和实验依赖
    本文介绍了在Kubernetes上部署JupyterHub的步骤和实验所需的依赖,包括安装Docker和K8s,使用kubeadm进行安装,以及更新下载的镜像等。 ... [详细]
  • string

    Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍

    本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细]
  • input

    CF:3D City Model(小思维)问题解析和代码实现

    CF:3D City Model(小思维)问题解析和代码实现
    本文通过解析CF:3D City Model问题,介绍了问题的背景和要求,并给出了相应的代码实现。该问题涉及到在一个矩形的网格上建造城市的情景,每个网格单元可以作为建筑的基础,建筑由多个立方体叠加而成。文章详细讲解了问题的解决思路,并给出了相应的代码实现供读者参考。 ... [详细]
  • command

    imx6ull开发板驱动MT7601U无线网卡的方法和步骤详解

    imx6ull开发板驱动MT7601U无线网卡的方法和步骤详解
    本文详细介绍了在imx6ull开发板上驱动MT7601U无线网卡的方法和步骤。首先介绍了开发环境和硬件平台,然后说明了MT7601U驱动已经集成在linux内核的linux-4.x.x/drivers/net/wireless/mediatek/mt7601u文件中。接着介绍了移植mt7601u驱动的过程,包括编译内核和配置设备驱动。最后,列举了关键词和相关信息供读者参考。 ... [详细]
  • merge

    成功安装Sabayon Linux在thinkpad X60上的经验分享

    成功安装Sabayon Linux在thinkpad X60上的经验分享
    本文分享了作者在国庆期间在thinkpad X60上成功安装Sabayon Linux的经验。通过修改CHOST和执行emerge命令,作者顺利完成了安装过程。Sabayon Linux是一个基于Gentoo Linux的发行版,可以将电脑快速转变为一个功能强大的系统。除了作为一个live DVD使用外,Sabayon Linux还可以被安装在硬盘上,方便用户使用。 ... [详细]
author-avatar
李淑宝彦豪俊嵐
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有