• 流量分析第一题


    一、题目

    链接:https://pan.baidu.com/s/1yNnDlun9lx9_c1aeiAuVKw 
    --来自百度网盘超级会员V3的分享

             Anna偷偷下载公司的机密文件售卖给竞争对手,查找Anna在跟谁传递消息,并且复原Anna偷偷下载的机密文件。

            现在已知Anna的电脑IP为192.168.1.158,并且使用AIM通信。

    二、 分析

            刚开始是建立通信的过程。通过那些ACK,SYN等关键词。

    补充: 

    TCP和UDP都是网络层上的协议,是建立在IP层之上的。
            TCP是有连接的传输,它通过对它下层IP包的冲突、错误检测和重传,保证了最终接收到的数据是可靠的;UDP是无连接的,数据包发出去就不管了,没有数据包是否成功并且正确发送的检查,不能保证数据传输100%正确,但是开销会比较小。

            TLS是在更上一层的协议,他必须建立在可靠的数据传输基础上,所以一般是在TCP之上,当然也可以建立在SCTP之上,但是一定不是UDP之上。TLS全名叫传输层安全(Transpot Layer Security)协议,TLS连接的建立有个标准的握手过程,可以查看RFC2246了解具体的细节。简单的讲,就是通信双方互相验证对方的数字证书,确认对方的身份,并通过密钥交换协议,确定出相互通信时使用的加密算法和密钥,之后的数据通信都使用协商好的加密算法进行加密传输。
    它可以保证:1. 与自己通信的一方确实是他自己声明的身份(通过证书检查确认)。 2. 通信时的数据传输的安全的(因为加密过了,中间即使被窃听,也没法解密,没法知道具体的内容)

    2.1获取加密方式

            但凡是这种即时通讯的软件,一定会将消息加密,因此我们需要找到AIM的加密方式并解密。好在Wireshark已经集成了AIM。

    看颜色,浅紫色的为TCP流,就是俩人开始正儿八经通信的数据包,前面的都是准备阶段。

    2.2解码 

     可以看出Continuation Data现在已经变成了AIM Message,表明解密已经成功了。

    三、分析数据包

    3.1分析Anna的私会者

    点开AIM message,发现是一个叫Sec558user1的人。 

    3.2复原文件

            那就是首先找到传输文件的数据包,过滤器输入:data。由于传输文件一般都是切割成小文件分别传输,所以我们需要追踪TCP流,形成一个完成的数据文件。 

     

            发现传输了一个recipe.docx的文件。下面我们dump这个文件。红色的和蓝色的为不同的数据传输方向。红色的为客户端->服务器。蓝色的为服务器->客户端。

     文件传输很明显是服务器->客户端,因此我们选择蓝色的部分,并将其转换为原始数据后导出。

     

     但是你这个文件现在是无法正常打开的,因为文件头还有杂物,必须拉到winhex里面删除垃圾头。然后另存为recipe.docx

     

     打开之后看到正常内容。复原成功。

     

     

  • 相关阅读:
    java使用数据库连接池
    发布文章到wordpress
    【Spring篇】简述IoC入门案例,DI入门案例
    【RocketMQ】MQ消息发送总结
    KingbaseES V8R3集群维护案例之---pcp_node_refresh应用
    ubuntu 23 使用教程
    Day958.代码的分层重构 -遗留系统现代化实战
    2023年即将到来软件测试在IT行业中的地位还算稳固吗?
    Boolean源码解剖学
    五、Express
  • 原文地址:https://blog.csdn.net/hacker_zrq/article/details/126069678