WireShark網路取證實錄(1)
每年這個新學期開始的時候,我都會向學生們去安利 WireShark ,告訴他們這個工具將會開啟通往網路世界的大門。絮叨一番它的各種好處之後,末了還要再加上一句“現在的書不管國內國外大都還是在介紹 1.X 版的操作,咱們上課時就用 2.X 版的,這才叫與時俱進!”
今年我仍然打算在啟動 WireShark 的時候重複這句話,誰知一條“當前 Wireshark 的最新版本為 3.0 ,是否更新到這個版本”提示不合時宜的跳了出來,讓我那句“這才叫與時俱進”生生的憋了回去。
細想想,要是不改名的話, Wireshark 已經 20 好幾歲了,按說出個 8.X 也是正常。垂垂老矣的我只能感慨時間過的太快,太多的事情還沒有做。這些年閱讀了高手介紹 WireShark 在網路分析的心得,收穫頗豐。但是在 WireShark 的另一個領域網路取證方面,去很少有人提及,想想很是可惜,今天拋磚引玉,也來聊聊 WireShark 的取證功能。
這裡我向你推薦一個很有意思的網站 “ http://forensicscontest.com ” 這個網站中提供了一些很專業的題目用於幫助我們學習 WireShark 的使用。國內很多安全類比賽的題目也都源於這個網站。我們來看一下里面提供的第一個網路取證題目:
“翠花 到底幹了些啥 ?! ”
行業巨鱷“大富貴” 公司懷疑他們的僱員 翠花 是 競爭對手“南天門”公司的臥底。但是發現的太晚了, 公司的重要機密 , 翠花知道的都差不多了。 大富貴 公司 的安全人員王大力 擔心 翠花 有可能會洩露這些機密。 咋辦,幹掉她,肯定不行啊,這也不是拍電影,報警吧,可是人家翠花也沒幹啥啊。
所以這些天可把王大力愁壞了,乾脆吧,只要翠花上班,就派人盯著她,可人家翠花不愧是搞無間道的,就是 沒有任何 的把柄 。
不過就在今天 , 有人開始搞事情了 ,一個從未使用過的膝上型電腦連線到了 大富貴 公司的無線網路中 。 王大力打算放長線釣大魚,假裝沒發現,一面悄悄的監聽它的通訊,一面派人四處在大樓裡尋找這檯筆記本電腦。
誰知大樓找遍了,也沒有見到這個筆記本的蹤影。王大力這才反應過來,一拍腦袋 “啊呀我去,這貨肯定是藏在地下車場了”。此時已經晚了,網路監控已經顯示這檯筆記本已經斷開連線了。
不過,狐狸的尾巴還是露出來了,根據網路監控,就在剛才 翠花 的計算機( 192.168.1.158 )將一些資訊通過無線網路傳送到 那臺膝上型電腦上了 。
“翠花,你這個膽子也是忒大了點了,居然在我眼皮子底下搞事情!”王大力雖然沒有抓到現行,但是有了這個這個期間監聽到的資料包,料想王翠花這個臥底是沒跑了。不過接下來手下的報告卻讓他又傻眼了。
“我們捕獲到了他們通訊時的資料包” 公司的網路監控人員向王大力彙報 “但是我們並不知道發生了什麼, 這需要專業的網路取證人員。 ”
好了,現在你就是 王大力請來的網路 取證工作人員 李元芳 ,現在 王大力想知道的 就是 到底 翠花 在和誰聯絡,她 都幹了些啥 , 對,你還得回答他下面這些問題:
1 .和 翠花 通訊的好友叫什麼名字?
2 .在這次通訊時發出的第一條訊息是什麼?
3 . 翠花 傳送了一個檔案,這個檔案的名字為什麼?
4 .這個檔案中 Magic number 是什麼(最前面的 4 個 bytes )
多說一句, Magic number 是啥,是幻數,它可以用來標記檔案或者協議的格式,很多檔案都有幻數標誌來表明該檔案的格式。一般 來說 , 硬碟資料恢復軟體 (如 EasyRecovery ),就是靠分析磁碟上的原始資料,然後根據檔案 幻數 來試圖匹配檔案格式,從而嘗試識別出磁碟中那些已經從檔案系統登記表中刪除的檔案(真實的檔案內容可能沒有被覆蓋)。
5 .這個檔案的 MD5 值為多少?
6 .這個檔案的內容是什麼?
檔案的下載地址 http://forensicscontest.com/contest01/evidence01.pcap 。
我們先來看第一個題目,和 翠花 通訊的好友( buddy )叫什麼名字?,首先使用 WireShark 開啟其中剛剛捕獲到的 evidence01.pcap 檔案。現在我們可以肯定的是 翠花 使用了某種通訊工具在和外界進行通訊,那麼她使用的是什麼呢, ICQ 、 Skype 或者 QQ ? ( 注意其實這個問題在 原來的 題目中已經給出了答案,這裡為了 增加難度 ,所以假設事先不知道 ) 這裡我們可以在資料包中來一查究竟。經過仔細觀察之後,我們除了開始的一些 ARP 和 TCP 資料包之外,第 23 個數據包顯示使用了 SSL 協議,這是一個加密的格式,我們猜測這就是 翠花 在和外界通訊時產生的資料包。雖然它的內容採用了加密的格式,但是它的 IP 協議頭部卻給帶來了我們了一個驚喜。這個資料包的目的地址是 64.12.24.50 。
圖 1 檢視到的目的地址
這裡 我們 最好為 WireShark 新增顯示地理位置的外掛, 這樣就 可以直接檢視這個資料包的目的所在地。
圖 2 目的地址的詳細資訊
這裡我們看到了這個資料包發往了 “ AOL Transit Data Network ”,國內的使用者對於 AOL 可能有些陌生,不過它在美國可是曾經很有名氣的。 不知道沒關係,怕啥,有事不明問百度唄! 我們求助搜尋引擎,在百度裡面搜尋 “ AOL 通訊工具 ”,很快就得到了有用的資訊。
圖 3 在百度中搜索到的 AOL 資訊
原來 翠花 用 的通訊工具 就是 AIM 啊 ,另外我們還查詢到了這個工具使用的是 443 埠。那麼接下來就好辦了, WireShark 中早就已經提供了對 AIM 資訊的解析方法。這裡我們只需要將 SSL 加密的資料包重新解析為 AIM 格式即可。首先在第 23 個數據包上單擊滑鼠右鍵,然後選擇“ Decode as ”選項,就可以開啟 "Decode As" 對話方塊了。
圖 4 WireShark 的 Decode as 視窗
這個對話方塊一共分成 5 個部分,第 1 列 Field 表示使用埠的型別,第 2 列 Value 表示使用的埠值,第 3 列 Type 表示型別,第 4 個為預設的解析協議,第 5 個為使用者要指定的解析協議。對這裡面的進行修改,我們的目的是凡是使用 443 埠的通訊都使用 AIM 進行解析。那麼將 Field 修改為 TCP Port ,將 Value 修改為 443 ,將 Current 修改為 AIM 。
圖 5 將 SSL 加密的資料包重新解析為 AIM 格式
好了設定完成之後,我們就可以單擊 Save 按鈕儲存設定,然後在在資料包列表面板中檢視所有的資訊。這裡面原來顯示為 SSL 的資料包,現在都已經顯示為 AIM 資訊了。
圖 6 轉換格式之後的資料包
好了現在我們回到第一個問題上來,和 翠花 通訊的好友( buddy )叫什麼名字?找到第一條“ AIM Messaging ”,也就是第 25 個數據包,展開裡面的資訊,發現它分成了兩層“ AOL Instant Messenger ”和“ AIM Messaging , Outgoing ”,我們依次展開兩層,很快就找到了答案。
圖 7 顯示的 Buddy 欄位內容
翠花 聯絡的好友的名稱原來就是 Sec558user1 , 這是啥名啊,一看就不是正經人啊!
好了第 2 個問題在這次通訊時發出的第一條訊息是什麼,這個問題就簡單多了,展開第一條 AIM Messaging 這個資料包的 TLV 部分,
圖 8 翠花 通訊時發出的第一條訊息
第 3 個問題, 翠花 傳送了一個檔案,這個檔案的名字叫什麼?我們在 WireShark 中使用“ data ”作為顯示過濾器來檢視哪些資料包中包含了資料。
圖 9 使用 “ data ”作為顯示過濾器
在這裡面選擇一個數據包,然後單擊滑鼠右鍵選擇 Follow>TCP Stream ,開啟的視窗如圖 10 所示。
圖 10 在 TCP 資料流中看到的檔名
好了,其實不用提取這個檔案,我們就已經看到了這個檔案的名稱是 recipe.docx 了。
第 4 個問題,這個檔案中 Magic number 是什麼(最前面的 4 個 bytes ),這裡我們首先需要了解一下它的概念。 Magic number ,即幻數,它可以用來標記檔案或者協議的格式,很多檔案都有幻數標誌來表明該檔案的格式。一般而言, 硬碟資料恢復軟體 (如 EasyRecovery ),就是靠分析磁碟上的原始資料,然後根據檔案 幻數 來試圖匹配檔案格式,從而嘗試識別出磁碟中那些已經從檔案系統登記表中刪除的檔案。
我們按照第 2 節中介紹的方法將資料流中的檔案提取出來,將這個檔案儲存為 evidence01.raw ,然後使用 winhex 開啟,這個檔案實際內容是從 recipe.docx 後面開始的,根據題目中給出的提示答案為最前面的 4 個 bytes ,所以為“ 50 4B 03 04 ”。這裡面涉及到一些檔案格式方面的知識,大家如果感興趣的話可以去參考一些相關的資料。
圖 11 檔案最前面的 4 個 bytes
然後我們將這個 PK 前面的部分刪除掉,再儲存為 recipe.docx 。
圖 12 儲存的 recipe.docx
5 .這個檔案的 MD5 值為多少?
計算 MD5 的值其實和 WireShark 沒有什麼關係,但是在取證方面卻很重要,這相當於給檔案添加了一個身份證,以防止它被篡改。
圖 13 計算檔案的 MD5 值
這個你可以使用任何的 MD5 工具來計算它的 MD5 值,這個題目最後的答案為 8350582774e1d4dbe1d61d64c89e0ea1 。
最後一個問題,這個檔案的內容是什麼?,在解答第 4 個問題的時候,我們已經將網路中的 TCP 資料流儲存成為了 recipe.docx ,現在只需要開啟這個 word 文件,就可以看到裡面的內容了。
圖 14 翠花傳送 的 word 文件
好了,整個探案過程到此為止了, 你,也就是李元芳的工作也圓滿結束。
王大力看著你做完這一切,長出一口氣, “哈哈,翠花,這下我看你還怎麼抵賴!”,說完帶上幾個警衛就直奔翠花的辦公室去了。
這正是 “商場諜戰風雲起,網路神兵顯身手”,欲知後事如何,咱們且聽下文分解。