流量分析第一题

一、题目

链接:https://pan.baidu.com/s/1yNnDlun9lx9_c1aeiAuVKw 
--来自百度网盘超级会员V3的分享

         Anna偷偷下载公司的机密文件售卖给竞争对手,查找Anna在跟谁传递消息,并且复原Anna偷偷下载的机密文件。

        现在已知Anna的电脑IP为192.168.1.158,并且使用AIM通信。

二、 分析

        刚开始是建立通信的过程。通过那些ACK,SYN等关键词。

流量分析第一题_第1张图片

流量分析第一题_第2张图片

补充: 

TCP和UDP都是网络层上的协议,是建立在IP层之上的。
        TCP是有连接的传输,它通过对它下层IP包的冲突、错误检测和重传,保证了最终接收到的数据是可靠的;UDP是无连接的,数据包发出去就不管了,没有数据包是否成功并且正确发送的检查,不能保证数据传输100%正确,但是开销会比较小。

        TLS是在更上一层的协议,他必须建立在可靠的数据传输基础上,所以一般是在TCP之上,当然也可以建立在SCTP之上,但是一定不是UDP之上。TLS全名叫传输层安全(Transpot Layer Security)协议,TLS连接的建立有个标准的握手过程,可以查看RFC2246了解具体的细节。简单的讲,就是通信双方互相验证对方的数字证书,确认对方的身份,并通过密钥交换协议,确定出相互通信时使用的加密算法和密钥,之后的数据通信都使用协商好的加密算法进行加密传输。
它可以保证:1. 与自己通信的一方确实是他自己声明的身份(通过证书检查确认)。 2. 通信时的数据传输的安全的(因为加密过了,中间即使被窃听,也没法解密,没法知道具体的内容)

流量分析第一题_第3张图片

2.1获取加密方式

        但凡是这种即时通讯的软件,一定会将消息加密,因此我们需要找到AIM的加密方式并解密。好在Wireshark已经集成了AIM。

流量分析第一题_第4张图片

看颜色,浅紫色的为TCP流,就是俩人开始正儿八经通信的数据包,前面的都是准备阶段。

2.2解码 

流量分析第一题_第5张图片

 可以看出Continuation Data现在已经变成了AIM Message,表明解密已经成功了。

流量分析第一题_第6张图片

三、分析数据包

3.1分析Anna的私会者

点开AIM message,发现是一个叫Sec558user1的人。 

流量分析第一题_第7张图片

3.2复原文件

        那就是首先找到传输文件的数据包,过滤器输入:data。由于传输文件一般都是切割成小文件分别传输,所以我们需要追踪TCP流,形成一个完成的数据文件。 

流量分析第一题_第8张图片 

        发现传输了一个recipe.docx的文件。下面我们dump这个文件。红色的和蓝色的为不同的数据传输方向。红色的为客户端->服务器。蓝色的为服务器->客户端。

流量分析第一题_第9张图片

 文件传输很明显是服务器->客户端,因此我们选择蓝色的部分,并将其转换为原始数据后导出。

流量分析第一题_第10张图片 

 但是你这个文件现在是无法正常打开的,因为文件头还有杂物,必须拉到winhex里面删除垃圾头。然后另存为recipe.docx

 流量分析第一题_第11张图片

 打开之后看到正常内容。复原成功。

流量分析第一题_第12张图片 

 

你可能感兴趣的:(取证分析,misc)