关于取证的很多题你可以在
以下网站找到
我们选取第一个题
题目意思大致是某公司Ann走了,安全团队怀疑Ann偷走了数据。于是安全团队开始监控Ann的行为
有一天,一个从未使用的笔记本使用工具AIM连接到了公司的无线网络上,但是Ann的计算机一直处于公司网络下
现在安全团队捕获了那个从未使用笔记本的数据包,现在我们来分析
提示:未知电脑IP是192.168.1.158
数据包在原文后有下载的
以下是数据包内容
第一步:找Ann的通信好友名称
找到SSL数据包,开始解密
在经过一些配置
选择那个第一个AIM messaging数据包
找到了和Ann通信人的名称
叫Sec558user1第二步:寻找通信过程中第一条信息内容是什么
还是刚才那个AIM messaging数据包
倒数第二行就是消息内容
中文意思是:我给你发一些文件
/第三步:寻找发送的文件名称
你会看到文件名称为一个word
第四步:获取文件内容和文件幻数
扩展名是bin表示是二进制文件
之后使用winhex.exe打开
删除无用的数据
剩下的前8个就是幻数
将其另存为docx文件
然后打开docx文件
你会看到文件内容
/第五步:查看文件的md5值
文件md5是由文件内容计算的
如果我们获取的md5值和要发送的md5不一样
那么就表明文件被篡改了
可以使用工具下图的最下面那个链接
下载之后将原docx文件拖进去
你会看到它的md5值