7-wireshark網絡安全分析——網絡取證二

如果大家想要學習更多關於網絡取證的內容，這裏給大家推薦一個網站：http://forensicscontest.com/ ， 這個網站裏提供了很多非常專業，關於wireshark進行網絡取證的題目，感興趣的同學可以做一下這上面的題目。

 

我們先來看第一題：

Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s secret recipe.

Security staff have been monitoring Ann’s activity for some time, but haven’t found anything suspicious– until now. Today an unexpected laptop briefly appeared on the company wireless network. Staff hypothesize it may have been someone in the parking lot, because no strangers were seen in the building. Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. The rogue laptop disappeared shortly thereafter.

“We have a packet capture of the activity,” said security staff, “but we can’t figure out what’s going on. Can you help?”

 

You are the forensic investigator. Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:

1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?

 

Here is your evidence file:

http://forensicscontest.com/contest01/evidence01.pcap

 

 

點擊鏈接下載實驗的數據包，並用wireshark工具打開：

根據題目的描述Ann的電腦ip是192.168.1.158，通過wireshark分析發現了一個可疑的數據包：Ann的電腦向一個陌生的ip地址64.12.24.50發送了一個數據包，SSL是早期的一種用於網絡通信加密的安全協議。

 

 

通過ip查詢工具輸入ip查詢，結果顯示這個ip是屬於美國AOL公司的，並且AIM是美國AOL公司的一個即時通信軟件。

 

 

因此我們可以推測Ann是使用AIM通信軟件，那麼可以通過wireshark對數據包進行解碼，選中23數據包右鍵選擇解碼爲，如下所示：

 

由於SSL協議的數據包是基於TCP協議傳輸的，那麼在字段中選擇TCP port，端口的值選擇443端口，當前字段選擇AIM，然後點擊OK。

 

 

解碼完後，wireshark中所有的SSL協議的數據包都被解析爲AIM協議數據包，其數據包封裝格式如下：

23應該是Ann登錄AIM通信軟件時發送的第一個AIM協議的數據包，第二個AIM協議數據包使用了AIM Messaging協議封裝，那麼直接從25數據包開始分析。

 

 

Frame 25封裝格式如下：

在分析之前，我們回到題目中的第一個問題：What is the name of Ann’s IM buddy ?（翻譯過來大概就是：跟Ann通信的好友IM buddy名字是什麼） ， 從AIM Messaging協議來看，跟Ann通信的對方的IM Buddy Name是Sec558user1。 在ValueMessage中就是Ann給對方發送的第一條IM消息。

 

從這條IM消息來看，Ann祕密下載了一份文件傳送給了對方，根據題目中第三個問題，我們需要知道Ann下載的文件名字叫什麼。

 

 

在顯示過濾器中輸入data進行過濾，Ann所在的主機向一個ip地址發送了大量數據包，而這些數據包有可能就是Ann傳輸文件時產生的。

 

 

使用wireshark的TCP“流”追蹤功能，如下所示：

在整個會話過程中，我們重點關注紅色部分的數據，其中recipe.docx這段就代表着傳輸的文件，而.docx就是傳輸的文件格式的後綴，也就是說Ann祕密傳輸的文件名就叫recipe.docx。然後選擇保存數據爲原始數據，文件另存爲recipe.bin格式。

 

 

使用WinHex工具打開recipe.bin文件，並刪除選中的部分，然後把文件另存爲recipe.docx文件，如下所示：

 

找到並打開recipe.docx文件，查看文件內容：