Wireshark网络安全之传输层安全-取证实践-以一道题为例

关于取证的很多题你可以在
以下网站找到

我们选取第一个题
题目意思大致是某公司Ann走了，安全团队怀疑Ann偷走了数据。于是安全团队开始监控Ann的行为
有一天，一个从未使用的笔记本使用工具AIM连接到了公司的无线网络上，但是Ann的计算机一直处于公司网络下
现在安全团队捕获了那个从未使用笔记本的数据包，现在我们来分析
提示：未知电脑IP是192.168.1.158
数据包在原文后有下载的
以下是数据包内容

第一步：找Ann的通信好友名称
找到SSL数据包，开始解密

在经过一些配置


选择那个第一个AIM messaging数据包

找到了和Ann通信人的名称
叫Sec558user1

第二步：寻找通信过程中第一条信息内容是什么
还是刚才那个AIM messaging数据包
倒数第二行就是消息内容
中文意思是：我给你发一些文件

/

第三步：寻找发送的文件名称


你会看到文件名称为一个word

第四步：获取文件内容和文件幻数
扩展名是bin表示是二进制文件

之后使用winhex.exe打开
删除无用的数据
剩下的前8个就是幻数

将其另存为docx文件
然后打开docx文件

你会看到文件内容
/

第五步：查看文件的md5值
文件md5是由文件内容计算的
如果我们获取的md5值和要发送的md5不一样
那么就表明文件被篡改了
可以使用工具下图的最下面那个链接

下载之后将原docx文件拖进去
你会看到它的md5值