文章目录
一、WireShark网络取证是什么?
WireShark 是网络取证的常用工具,可捕获并解析网络数据包,将二进制流量转化为可读信息。它能提取通信双方 IP/MAC 地址、端口、协议类型等头部数据,还能还原 HTTP 请求、邮件内容、传输文件等负载内容。通过过滤特定流量(如指定 IP 或端口)、追踪 TCP 数据流,可定位异常行为(如恶意扫描、数据外传),从数据包中导出文件并校验哈希值以固定证据。常用于调查数据泄露、恶意软件通信、网络攻击等场景,通过分析流量还原事件过程,为网络安全事件提供证据支撑。
网络取证题目网站:http://forensicscontest.com/puzzles
二、WireShark网络取证
1.WireShark网络取证分析第一集
1.题目介绍
Anarchy-R-Us公司怀疑他们的员工Ann Dercover实际上是他们竞争对手的秘密特工,Ann可以接触公司的重要资产—秘密配方,安保人员担心Ann可能试图泄露公司的秘密配方,安保人员一段时间以来一直监控着Ann的活动,但是直到现在还没有发现任何可疑的行为,直到今天一台意外的笔记本电脑突然出现在公司的无线网络上,工作人员猜测可能是停车场里的某个人,因为在建筑物内没有看到陌生人,An的电脑(192.168.1.158)通过无线网络向这台电脑发送了即时消息,之后这台流氓笔记本电脑很快就消失了,根据安全人员报告目前有捕获到一个活动的数据包,但我们不知道发生了什么,需要进行协助分析,现在的你是一位专业的调查员,你的任务是找出安在给谁发信息,她发了什么并找到证据,主要包括:
1.Ann的即时通讯好友叫什么名字?
2.在捕获的即时通讯对话中第一条评论是什么?
3.Ann传输的文件叫什么名字?
4.您想提取的文件的魔数是什么(前四个字节)?
5.文件的MD5sum是多少?
6.什么是秘密配方?
2.报文分析
Step 1:下载数据包到本地后使用wireshark打开
Step 2:由于已知An的电脑(192.168.1.158)通过无线网络向电脑发送了即时消息,那么我们可以直接过滤IP地址定位到相关的数据包
输入:
ip.src == 192.168.1.158
Step 3:使用了SSL加密,没法直接查看其中的明文信息,对IP地址进行了查询,发现该IP地址是"美国AOL美国在线公司"的地址
Step 4:改为未加密状态(TCP port)
Step 5:追踪流
详细信息
Ann的即时通讯好友叫什么名字?
Sec558user1
在捕获的即时通讯对话中第一条评论是什么?
Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go >:-)
输入:
data
Ann传输的文件叫什么名字?
recipe.docx
您想提取的文件的魔数是什么(前四个字节)?
50 4b 03 04
文件的MD5sum是多少?
8350582774e1d4dbe1d61d64c89e0ea1
复制到input,删掉pk之前的,保存,不要打开下载好的word文件,防止MD5值变化
输入:
certutil.exe -hashfile .\download.docx MD5
什么是秘密配方?
打开下载好的文件
2.WireShark网络取证分析第二集
1.题目介绍
被保释后, Ann消失了!幸运的是,在她跳过城镇之前,调查人员正在仔细监控她的网络活动。“我们相信安在离开之前可能已经与她的秘密情人X先生进行了沟通,”警察局长说。“数据包捕获可能包含她下落的线索。你是法医调查员。你的任务是弄清楚安发了什么电子邮件,她去了哪里,并恢复证据,包括:
1.Ann的电子邮件地址是什么?
2.Ann的电子邮件密码是什么?
3.Ann的秘密情人的电子邮件地址是什么?
4.Ann告诉她的秘密情人要带哪两样东西?
5.Ann发送给她的秘密爱人的附件的名称是什么?
6.Ann发送给她的秘密爱人的附件的MD5是多少?
7.Ann和她的秘密情人在哪个城市和国家集合点?
8.附件文档中嵌入的图像的MD5是多少?
2.报文分析
Ann的电子邮件地址是什么?
sneakyg33k@aol.com
Ann的电子邮件密码是什么?
558r00lz
邮箱协议
