关于取证的很多题你可以在

以下网站找到

wireshark提证书_wireshark提证书


我们选取第一个题

题目意思大致是某公司Ann走了,安全团队怀疑Ann偷走了数据。于是安全团队开始监控Ann的行为

有一天,一个从未使用的笔记本使用工具AIM连接到了公司的无线网络上,但是Ann的计算机一直处于公司网络下

现在安全团队捕获了那个从未使用笔记本的数据包,现在我们来分析

提示:未知电脑IP是192.168.1.158

数据包在原文后有下载的

以下是数据包内容

wireshark提证书_取证_02

第一步:找Ann的通信好友名称

找到SSL数据包,开始解密

wireshark提证书_WireShark_03


在经过一些配置

wireshark提证书_取证_04


wireshark提证书_WireShark_05


选择那个第一个AIM messaging数据包

wireshark提证书_文件名_06


找到了和Ann通信人的名称

叫Sec558user1第二步:寻找通信过程中第一条信息内容是什么

还是刚才那个AIM messaging数据包

倒数第二行就是消息内容

中文意思是:我给你发一些文件

wireshark提证书_wireshark提证书_07


/第三步:寻找发送的文件名称

wireshark提证书_数据_08


wireshark提证书_wireshark提证书_09


你会看到文件名称为一个word

wireshark提证书_wireshark提证书_10

第四步:获取文件内容和文件幻数

扩展名是bin表示是二进制文件

wireshark提证书_数据_11


之后使用winhex.exe打开

删除无用的数据

剩下的前8个就是幻数

wireshark提证书_数据_12


将其另存为docx文件

然后打开docx文件

wireshark提证书_文件名_13


你会看到文件内容

/第五步:查看文件的md5值

文件md5是由文件内容计算的

如果我们获取的md5值和要发送的md5不一样

那么就表明文件被篡改了

可以使用工具下图的最下面那个链接

wireshark提证书_WireShark_14


下载之后将原docx文件拖进去

你会看到它的md5值