安和X先生已经建立了他们新的经营基地,在等待引渡文件通过时,你和你的调查小组秘密监视她的活动,最近Ann得到了一台全新的AppleTV并配置了静态IP地址192.168.1.10,本次分析的文件正是捕获她最近的活动,现在你的任务是找出Ann搜索的内容,建立她的兴趣档案并恢复证据,包括:
分析流程:
Step 1:使用WireShark打开数据报文
Step 2:查看第一个数据包文件我们从数据链路层以太网帧头部信息中可以得到第一个问题的答案
Step 2:从数据报文中可以看到这里首先进行了一次DNS查询,之后与目标地址a1108.da1.akamai.net通过TCP三次握手建立了连接,通过查阅下面的HTTP请求数据报文我们得到了第二个问题答案
Step 3:下面我们跟踪TCP数据流,从第二个流中检索到搜索的词,得到第三个问题的答案
Step 4:之后过滤HTTP请求并从中进行筛选数据报文,从中可以看到viewMovie请求以及其中的id,之后我们向上回溯可以找到回显的结果并从中检索到第三个问题的答案
Step 5:全局检索包含"preview-url"的数据报文,发现无果,之后继续回到上面的报文序列继续向下查看响应报文,得到第四个问题的答案
Step 6:继续向下查阅报文可以看到第二部电影的名字,得到第5个问题的答案
Step 7:从报文中获取到支付价格,得到第六个问题的答案
Step 8:之后将数据报文拉到最后可以获取到最后一个问题的答案
本篇文章主要对网络取证分析进行了一个简易的实践,其中主要涉及到数据报文的显示过滤以及数据报文类型的区分和数据报文的结果,以及对数据报文上下文之间的关联的分析