《計算機取證》課程報告 第頁7.使用抓包軟件監控數據包；使用wireshake進行郵件系統取證寫一封郵件標題07182374曹仁龍，內容為附件0718234曹仁龍.txt，打開wireshark開始捕獲，在foxmail中點擊發送郵件給411746543@.查看foxmail中QQ郵箱中的發件服務器，為之后的過濾作鋪墊勾選SSL與不勾選的區別：

1、勾選ssl：發送郵件是使用了SSL加密技術。

2、不勾選ssl：發送的郵件沒有使用SSL加密技術。篩選smtp流量數據包，可以看到郵件的內容和標題等信息，但是被進行了16進制轉換和base64編碼上圖顯示了從主機與郵件服務器建立連接，到對qq郵件登錄授權，發送郵件，接收郵件，斷開連接的全過程。之后我們追蹤TCP流，查看全過程的數據。通過在線的16進制轉換和base64解碼，可以還原附件內容如下其中用戶名為2500622678@查看郵件內容：解碼為:附加實驗一-網絡取證實踐4.1題目題目來源：Anarchy-R-Us,Inc.suspectsthatoneoftheiremployees,AnnDercover,isreallyasecretagentworkingfortheircompetitor.Annhasaccesstothecompany’sprizeasset,thesecretrecipe.SecuritystaffareworriedthatAnnmaytrytoleakthecompany’ssecretrecipe.SecuritystaffhavebeenmonitoringAnn’sactivityforsometime,buthaven’tfoundanythingsuspicious–untilnow.Todayanunexpectedlaptopbrieflyappearedonthecompanywirelessnetwork.Staffhypothesizeitmayhavebeensomeoneintheparkinglot,becausenostrangerswereseeninthebuilding.Ann’scomputer,(58)sentIMsoverthewirelessnetworktothiscomputer.Theroguelaptopdisappearedshortlythereafter.“Wehavea

packetcapture

oftheactivity,”saidsecuritystaff,“butwecan’tfigureoutwhat’sgoingon.Canyouhelp?”

Youaretheforensicinvestigator.

YourmissionistofigureoutwhoAnnwasIM-ing,whatshesent,andrecoverevidenceincluding:1.WhatisthenameofAnn’sIMbuddy?2.WhatwasthefirstcommentinthecapturedIMconversation?3.WhatisthenameofthefileAnntransferred?4.Whatisthemagicnumberofthefileyouwanttoextract(firstfourbytes)?5.WhatwastheMD5sumofthefile?6.Whatisthesecretrecipe?無政府-r-us公司懷疑他們的一個雇員，安·德弗弗，實際上是為他們的競爭對手工作的秘密特工。安可以接觸到公司的寶貴資產，秘方。保安人員擔心安可能會泄露公司的秘方。安全人員已經監視安的活動一段時間了，但直到現在還沒有發現任何可疑的東西。今天，一款意想不到的筆記本電腦出現在了公司的無線網絡上。工作人員推測可能是停車場里的某個人，因為大樓里沒有看到陌生人。Ann的計算機(58)通過無線網絡向這臺計算機發送即時消息。那臺惡意的筆記本電腦很快就消失了。“我們捕獲了該活動的數據包，”安全人員說，“但我們不知道發生了什么。”你能幫助嗎?”你是法醫調查員。你的任務是找出安在給誰發信息，她發了什么，找回證據包括:1.安的即時通訊好友叫什么名字?2.在捕獲的IM會話中的第一個評論是什么?3.安轉移的文件叫什么名字?4.您想要提取的文件的神奇數字是多少(前四個字節)?5.文件的MD5sum是多少?6.秘方是什么?4.2具體步驟下載實驗的數據包，用wireshark工具打開：根據題目的描述Ann的電腦ip是58，通過wireshark分析發現了一個可疑的數據包：Ann的電腦向一個陌生的ip地址0發送了一個數據包，SSL是早期的一種用于網絡通信加密的安全協議。通過ip查詢工具輸入ip查詢，結果顯示這個ip是屬于美國AOL公司的，AIM是美國AOL公司的一個即時通信軟件。因此我們可以推測Ann是使用AIM通信軟件，通過wireshark對數據包進行解碼由于SSL協議的數據包是基于TCP協議傳輸的，在字段中選擇TCPport，端口的值選擇443端口，當前字段選擇AIM，然后點擊OK。解碼完后，wireshark中所有的SSL協議的數據包都被解析為AIM協議數據包，其數據包封裝格式如下：23應該是Ann登錄AIM通信軟件時發送的第一個AIM協議的數據包，第二個AIM協議數據包使用了AIMMessaging協議封裝，那么直接從25數據包開始分析。Frame25封裝格式如下：在分析之前，我們回到題目中的第一個問題：WhatisthenameofAnn’sIMbuddy

?（翻譯過來大概就是：跟Ann通信的好友IMbuddy名字是什么），從AIMMessaging協議來看，跟Ann通信的對方的IMBuddyName是Sec558user1。在ValueMessage中就是Ann給對方發送的第一條IM消息。

從這條IM消息來看，Ann秘密下載了一份文件傳送給了對方，根據題目中第三個問題，我們需要知道Ann下載的文件名字叫什么。現在我們知道Ann的電腦ip地址是58，那么就可以先從Ann的電腦開始分析，在wireshark過濾地址欄中輸入ip.host==58&&data，這個過濾語句表示，我們要分析58地址的帶有數據的流量包：可以看到Ann的電腦有一段異常的數據包。Ann所在的主機向一個ip地址發送了大量數據包，而這些數據包有可能就是Ann傳輸文件時產生的。我們可以對這一段數據包進行右鍵追蹤流>TCP流，分析整個會話的流量。

使用wireshark的TCP“流”追蹤功能，如下所示：在整個會話過程中，我們重點關注紅色部分的數據，其中recipe.docx這段就代表著傳輸的文件，而.docx就是傳輸的文件格式的后綴，也就是說Ann秘密傳輸的文件名就叫recipe.docx。然后選擇保存數據為原始數據，文件另存為recipe.bin格式。

使用WinHex工具打開recipe.bin文件，并刪除選中的部分，然后把文件另存為recipe.docx文件，如下所示：找到并打開recipe.docx文件，查看文件內容：4.3實驗收獲Wireshark可以解析網絡中的各種數據流量，那么通過網絡傳輸協議，例如ftp協議傳輸的文件數據wireshark也可以對其解析，本質上FTP協議是基于傳輸層TCP協議的，一個完整的文件會分割為多個tcp數據包傳輸（這些TCP數據包被稱為TCP流），wireshark工具提供了一個“流跟蹤（TCPStream）”功能可以分析TCP流。這個功能在我們需要使用wiresahrk分析某些網絡流量進行取證的時候可以發揮很大的作用，wireshark可以通過“流跟蹤（TCPStream）”功能捕獲完整會話的通信流量或文件數據。附加實驗二-網絡取證實踐5.1題目題目來源：5.2具體步驟使用wireshark打開http_with_jpegs.cap.gz文件：當我們要分析某個數據包的整個會話過程的話，就可以選中某個數據包右鍵選擇：追蹤流-->TCP流，以67數據包為例，如下圖所示：GET/Websidan/images/sydney.jpgHTTP/1.1整個會話中，是以GET方式請求一個sydney.jpg的圖片文件，最上面的一部分表示HTTP請求部分，中間部分表示HTTP響應部分，最下面的則是HTTP請求的sydney.jpg文件的二進制原始數據。

然后對整個會話進行過濾，只保留http響應部分和sydney.bin文件的原始數據，然后另存為sydney.bin文件：使用winhex工具打開sydney.bin文件來分析文件的原始數據，選擇：File-->Open，sydney.bin文件中的十六進制數據包含了http頭部和文件的原始數據，需要刪除http響應頭部的數據，我們知道的一點就是http響應頭部和文件的原始數據中間存在一個空行，也就是說有兩個回車換行符，而回車換行符對應的ASCII碼就是13和10，轉換成十六進制就是0x0a和0x0d，在這之后就是文件真正的原始數據了。

下圖中被選中的部分就是HTTP響應頭部和兩個回車換行符了，只需把選中的部分數據刪除即可：刪除之后，把文件另存為.jpeg格式的文件數據，最后打開sydney.jpeg圖片文件：5.3實驗收獲恢復傳輸中的JPG文件，無論傳輸層上層是哪一種協議，只要到了傳輸層就必須使用UDP和TCP協議。Wireshark可以解析網絡中的各種數據流量，那么通過網絡傳輸協議，例如ftp協議傳