网络取证练习
http://forensicscontest.com/puzzles
每道题都是给一个数据包,一些问题,分析数据包
难题1:安的不良目标
九月25,2009 / 管理 / 5评论
Anarchy-R-Us,Inc.怀疑他们的一名雇员Ann Dercover确实是为竞争对手工作的秘密特工。Ann可以使用公司的奖励资产,即秘方。安全人员担心安可能会泄露公司的秘密秘方。
安全人员一直在监视Ann的活动,但直到现在都没有发现可疑之处。今天,一台意外的笔记本电脑短暂出现在公司的无线网络上。工作人员假设它可能是停车场中的某个人,因为在建筑物中没有看到陌生人。安的计算机(192.168.1.158)通过无线网络向该计算机发送了IM。此后不久,流氓笔记本电脑便消失了。
安全人员说:“我们对活动进行了数据包捕获,但是我们无法弄清楚发生了什么。你能帮我吗?”
您是法医调查员。您的任务是弄清楚Ann是谁的IM-ing,她发送了什么,并找回证据,包括:
1. Ann的IM好友的名字是什么?
2.捕获的IM对话中的第一个评论是什么?
3. Ann传送的文件的名称是什么?
4.您要提取的文件(前四个字节)的幻数是多少?
5.文件的MD5sum是什么?
6.什么是秘方?
这是您的证据文件:
http://forensicscontest.com/contest01/evidence01.pcap
MD5(evidence.pcap)= d187d77e18c84f6d72f5845edca833f51.打开下载的数据包
可以看到使用ssl加密,我们知道他使用了IM软件,但不知道是什么
先查看通信的ip地址,可以看到是美国的aol公司
接着查找aol公司的通信软件,叫做AIM,Wireshark提供对各种通信工具的解密方法,我们把它当做AIM协议来解析。
右键,解码为(用另一种方式解码)我们的目的是把使用443端口的通信都使用AIM来解析
如图修改
可以看到,显示为AIM数据包
接下来我们回到第一个问题:
Ann的IM好友的名字是什么?
AIM软件中好友是buddy字段
我们一个个数据包往下看,发现第25个包中有,因此答案为Sec558user1
接下来看第二个问题
2.捕获的IM对话中的第一个评论是什么?Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)
刚刚的数据包中往下看就是内容
3. Ann传送的文件的名称是什么?
我们知道文件传输使用data字段来过滤
过滤后,追踪流。很明显看到word文件名称,因此答案为recipe.docx。
4.您要提取的文件(前四个字节)的幻数是多少?
幻数是文件前四个字节
保存文件,记得保存原始数据
打开后可以看到PK,PK就是word文件的幻数,也就是说见到开始是PK的文件就是word文件。
答案:前四个字节 50 4B 03 04
5.文件的MD5sum是什么?
使用校验工具校验,求出md5MD5:8350582774E1D4DBE1D61D64C89E0EA1
6.什么是秘方?
把pk前面的都删了,修改后缀名为docx.内容就出来了
