14.wireshark学习-网络取证练习1

网络取证练习

http://forensicscontest.com/puzzles

每道题都是给一个数据包，一些问题，分析数据包

难题1：安的不良目标
九月25，2009 / 管理 / 5评论
Anarchy-R-Us，Inc.怀疑他们的一名雇员Ann Dercover确实是为竞争对手工作的秘密特工。Ann可以使用公司的奖励资产，即秘方。安全人员担心安可能会泄露公司的秘密秘方。

安全人员一直在监视Ann的活动，但直到现在都没有发现可疑之处。今天，一台意外的笔记本电脑短暂出现在公司的无线网络上。工作人员假设它可能是停车场中的某个人，因为在建筑物中没有看到陌生人。安的计算机（192.168.1.158）通过无线网络向该计算机发送了IM。此后不久，流氓笔记本电脑便消失了。

安全人员说：“我们对活动进行了数据包捕获，但是我们无法弄清楚发生了什么。你能帮我吗？”

您是法医调查员。您的任务是弄清楚Ann是谁的IM-ing，她发送了什么，并找回证据，包括：

1. Ann的IM好友的名字是什么？
2.捕获的IM对话中的第一个评论是什么？
3. Ann传送的文件的名称是什么？
4.您要提取的文件（前四个字节）的幻数是多少？
5.文件的MD5sum是什么？
6.什么是秘方？

这是您的证据文件：

http://forensicscontest.com/contest01/evidence01.pcap
MD5（evidence.pcap）= d187d77e18c84f6d72f5845edca833f5

1.打开下载的数据包

可以看到使用ssl加密，我们知道他使用了IM软件，但不知道是什么

先查看通信的ip地址，可以看到是美国的aol公司

接着查找aol公司的通信软件，叫做AIM，Wireshark提供对各种通信工具的解密方法，我们把它当做AIM协议来解析。

右键，解码为（用另一种方式解码）我们的目的是把使用443端口的通信都使用AIM来解析

如图修改

可以看到，显示为AIM数据包

接下来我们回到第一个问题：

Ann的IM好友的名字是什么？

AIM软件中好友是buddy字段

我们一个个数据包往下看，发现第25个包中有，因此答案为Sec558user1

接下来看第二个问题
2.捕获的IM对话中的第一个评论是什么？
Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)

刚刚的数据包中往下看就是内容

3. Ann传送的文件的名称是什么？
我们知道文件传输使用data字段来过滤

过滤后，追踪流。很明显看到word文件名称，因此答案为recipe.docx。

4.您要提取的文件（前四个字节）的幻数是多少？

幻数是文件前四个字节

保存文件，记得保存原始数据

打开后可以看到PK，PK就是word文件的幻数，也就是说见到开始是PK的文件就是word文件。

答案：前四个字节 50 4B 03 04

5.文件的MD5sum是什么？

使用校验工具校验，求出md5MD5：8350582774E1D4DBE1D61D64C89E0EA1

6.什么是秘方？

把pk前面的都删了，修改后缀名为docx.内容就出来了