网络空间安全概论 实验6 网络监听实验样例3

《计算机取证》课程报告 第页7.使用抓包软件监控数据包；使用wireshake进行邮件系统取证写一封邮件标题07182374曹仁龙，内容为附件0718234曹仁龙.txt，打开wireshark开始捕获，在foxmail中点击发送邮件给411746543@.查看foxmail中QQ邮箱中的发件服务器，为之后的过滤作铺垫勾选SSL与不勾选的区别：

1、勾选ssl：发送邮件是使用了SSL加密技术。

2、不勾选ssl：发送的邮件没有使用SSL加密技术。筛选smtp流量数据包，可以看到邮件的内容和标题等信息，但是被进行了16进制转换和base64编码上图显示了从主机与邮件服务器建立连接，到对qq邮件登录授权，发送邮件，接收邮件，断开连接的全过程。之后我们追踪TCP流，查看全过程的数据。通过在线的16进制转换和base64解码，可以还原附件内容如下其中用户名为2500622678@查看邮件内容：解码为:附加实验一-网络取证实践4.1题目题目来源：Anarchy-R-Us,Inc.suspectsthatoneoftheiremployees,AnnDercover,isreallyasecretagentworkingfortheircompetitor.Annhasaccesstothecompany’sprizeasset,thesecretrecipe.SecuritystaffareworriedthatAnnmaytrytoleakthecompany’ssecretrecipe.SecuritystaffhavebeenmonitoringAnn’sactivityforsometime,buthaven’tfoundanythingsuspicious–untilnow.Todayanunexpectedlaptopbrieflyappearedonthecompanywirelessnetwork.Staffhypothesizeitmayhavebeensomeoneintheparkinglot,becausenostrangerswereseeninthebuilding.Ann’scomputer,(58)sentIMsoverthewirelessnetworktothiscomputer.Theroguelaptopdisappearedshortlythereafter.“Wehavea

packetcapture

oftheactivity,”saidsecuritystaff,“butwecan’tfigureoutwhat’sgoingon.Canyouhelp?”

Youaretheforensicinvestigator.

YourmissionistofigureoutwhoAnnwasIM-ing,whatshesent,andrecoverevidenceincluding:1.WhatisthenameofAnn’sIMbuddy?2.WhatwasthefirstcommentinthecapturedIMconversation?3.WhatisthenameofthefileAnntransferred?4.Whatisthemagicnumberofthefileyouwanttoextract(firstfourbytes)?5.WhatwastheMD5sumofthefile?6.Whatisthesecretrecipe?无政府-r-us公司怀疑他们的一个雇员，安·德弗弗，实际上是为他们的竞争对手工作的秘密特工。安可以接触到公司的宝贵资产，秘方。保安人员担心安可能会泄露公司的秘方。安全人员已经监视安的活动一段时间了，但直到现在还没有发现任何可疑的东西。今天，一款意想不到的笔记本电脑出现在了公司的无线网络上。工作人员推测可能是停车场里的某个人，因为大楼里没有看到陌生人。Ann的计算机(58)通过无线网络向这台计算机发送即时消息。那台恶意的笔记本电脑很快就消失了。“我们捕获了该活动的数据包，”安全人员说，“但我们不知道发生了什么。”你能帮助吗?”你是法医调查员。你的任务是找出安在给谁发信息，她发了什么，找回证据包括:1.安的即时通讯好友叫什么名字?2.在捕获的IM会话中的第一个评论是什么?3.安转移的文件叫什么名字?4.您想要提取的文件的神奇数字是多少(前四个字节)?5.文件的MD5sum是多少?6.秘方是什么?4.2具体步骤下载实验的数据包，用wireshark工具打开：根据题目的描述Ann的电脑ip是58，通过wireshark分析发现了一个可疑的数据包：Ann的电脑向一个陌生的ip地址0发送了一个数据包，SSL是早期的一种用于网络通信加密的安全协议。通过ip查询工具输入ip查询，结果显示这个ip是属于美国AOL公司的，AIM是美国AOL公司的一个即时通信软件。因此我们可以推测Ann是使用AIM通信软件，通过wireshark对数据包进行解码由于SSL协议的数据包是基于TCP协议传输的，在字段中选择TCPport，端口的值选择443端口，当前字段选择AIM，然后点击OK。解码完后，wireshark中所有的SSL协议的数据包都被解析为AIM协议数据包，其数据包封装格式如下：23应该是Ann登录AIM通信软件时发送的第一个AIM协议的数据包，第二个AIM协议数据包使用了AIMMessaging协议封装，那么直接从25数据包开始分析。Frame25封装格式如下：在分析之前，我们回到题目中的第一个问题：WhatisthenameofAnn’sIMbuddy

?（翻译过来大概就是：跟Ann通信的好友IMbuddy名字是什么），从AIMMessaging协议来看，跟Ann通信的对方的IMBuddyName是Sec558user1。在ValueMessage中就是Ann给对方发送的第一条IM消息。

从这条IM消息来看，Ann秘密下载了一份文件传送给了对方，根据题目中第三个问题，我们需要知道Ann下载的文件名字叫什么。现在我们知道Ann的电脑ip地址是58，那么就可以先从Ann的电脑开始分析，在wireshark过滤地址栏中输入ip.host==58&&data，这个过滤语句表示，我们要分析58地址的带有数据的流量包：可以看到Ann的电脑有一段异常的数据包。Ann所在的主机向一个ip地址发送了大量数据包，而这些数据包有可能就是Ann传输文件时产生的。我们可以对这一段数据包进行右键追踪流>TCP流，分析整个会话的流量。

使用wireshark的TCP“流”追踪功能，如下所示：在整个会话过程中，我们重点关注红色部分的数据，其中recipe.docx这段就代表着传输的文件，而.docx就是传输的文件格式的后缀，也就是说Ann秘密传输的文件名就叫recipe.docx。然后选择保存数据为原始数据，文件另存为recipe.bin格式。

使用WinHex工具打开recipe.bin文件，并删除选中的部分，然后把文件另存为recipe.docx文件，如下所示：找到并打开recipe.docx文件，查看文件内容：4.3实验收获Wireshark可以解析网络中的各种数据流量，那么通过网络传输协议，例如ftp协议传输的文件数据wireshark也可以对其解析，本质上FTP协议是基于传输层TCP协议的，一个完整的文件会分割为多个tcp数据包传输（这些TCP数据包被称为TCP流），wireshark工具提供了一个“流跟踪（TCPStream）”功能可以分析TCP流。这个功能在我们需要使用wiresahrk分析某些网络流量进行取证的时候可以发挥很大的作用，wireshark可以通过“流跟踪（TCPStream）”功能捕获完整会话的通信流量或文件数据。附加实验二-网络取证实践5.1题目题目来源：5.2具体步骤使用wireshark打开http_with_jpegs.cap.gz文件：当我们要分析某个数据包的整个会话过程的话，就可以选中某个数据包右键选择：追踪流-->TCP流，以67数据包为例，如下图所示：GET/Websidan/images/sydney.jpgHTTP/1.1整个会话中，是以GET方式请求一个sydney.jpg的图片文件，最上面的一部分表示HTTP请求部分，中间部分表示HTTP响应部分，最下面的则是HTTP请求的sydney.jpg文件的二进制原始数据。

然后对整个会话进行过滤，只保留http响应部分和sydney.bin文件的原始数据，然后另存为sydney.bin文件：使用winhex工具打开sydney.bin文件来分析文件的原始数据，选择：File-->Open，sydney.bin文件中的十六进制数据包含了http头部和文件的原始数据，需要删除http响应头部的数据，我们知道的一点就是http响应头部和文件的原始数据中间存在一个空行，也就是说有两个回车换行符，而回车换行符对应的ASCII码就是13和10，转换成十六进制就是0x0a和0x0d，在这之后就是文件真正的原始数据了。

下图中被选中的部分就是HTTP响应头部和两个回车换行符了，只需把选中的部分数据删除即可：删除之后，把文件另存为.jpeg格式的文件数据，最后打开sydney.jpeg图片文件：5.3实验收获恢复传输中的JPG文件，无论传输层上层是哪一种协议，只要到了传输层就必须使用UDP和TCP协议。Wireshark可以解析网络中的各种数据流量，那么通过网络传输协议，例如ftp协议传