一、WireShark网络取证是什么？

WireShark 是网络取证的常用工具，可捕获并解析网络数据包，将二进制流量转化为可读信息。它能提取通信双方 IP/MAC 地址、端口、协议类型等头部数据，还能还原 HTTP 请求、邮件内容、传输文件等负载内容。通过过滤特定流量（如指定 IP 或端口）、追踪 TCP 数据流，可定位异常行为（如恶意扫描、数据外传），从数据包中导出文件并校验哈希值以固定证据。常用于调查数据泄露、恶意软件通信、网络攻击等场景，通过分析流量还原事件过程，为网络安全事件提供证据支撑。

网络取证题目网站：http://forensicscontest.com/puzzles

二、WireShark网络取证

1.WireShark网络取证分析第一集

1.题目介绍

Anarchy-R-Us公司怀疑他们的员工Ann Dercover实际上是他们竞争对手的秘密特工，Ann可以接触公司的重要资产—秘密配方，安保人员担心Ann可能试图泄露公司的秘密配方，安保人员一段时间以来一直监控着Ann的活动，但是直到现在还没有发现任何可疑的行为，直到今天一台意外的笔记本电脑突然出现在公司的无线网络上，工作人员猜测可能是停车场里的某个人，因为在建筑物内没有看到陌生人，An的电脑(192.168.1.158)通过无线网络向这台电脑发送了即时消息，之后这台流氓笔记本电脑很快就消失了，根据安全人员报告目前有捕获到一个活动的数据包，但我们不知道发生了什么，需要进行协助分析，现在的你是一位专业的调查员，你的任务是找出安在给谁发信息，她发了什么并找到证据，主要包括:

1.Ann的即时通讯好友叫什么名字？

2.在捕获的即时通讯对话中第一条评论是什么？

3.Ann传输的文件叫什么名字？

4.您想提取的文件的魔数是什么(前四个字节)？

5.文件的MD5sum是多少？

6.什么是秘密配方？

2.报文分析
Step 1：下载数据包到本地后使用wireshark打开

Step 2：由于已知An的电脑(192.168.1.158)通过无线网络向电脑发送了即时消息，那么我们可以直接过滤IP地址定位到相关的数据包
输入：

ip.src == 192.168.1.158

Step 3：使用了SSL加密，没法直接查看其中的明文信息，对IP地址进行了查询，发现该IP地址是"美国AOL美国在线公司"的地址

Step 4：改为未加密状态（TCP port）

Step 5：追踪流

详细信息

Ann的即时通讯好友叫什么名字？

Sec558user1

在捕获的即时通讯对话中第一条评论是什么？

Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go >:-)

输入：

data

Ann传输的文件叫什么名字？

recipe.docx

您想提取的文件的魔数是什么(前四个字节)？

50 4b 03 04

文件的MD5sum是多少？

8350582774e1d4dbe1d61d64c89e0ea1

复制到input,删掉pk之前的，保存，不要打开下载好的word文件，防止MD5值变化

输入：

certutil.exe -hashfile .\download.docx MD5

什么是秘密配方？

打开下载好的文件

2.WireShark网络取证分析第二集

1.题目介绍
被保释后， Ann消失了！幸运的是，在她跳过城镇之前，调查人员正在仔细监控她的网络活动。“我们相信安在离开之前可能已经与她的秘密情人X先生进行了沟通，”警察局长说。“数据包捕获可能包含她下落的线索。你是法医调查员。你的任务是弄清楚安发了什么电子邮件，她去了哪里，并恢复证据，包括：

1.Ann的电子邮件地址是什么？
2.Ann的电子邮件密码是什么？
3.Ann的秘密情人的电子邮件地址是什么？
4.Ann告诉她的秘密情人要带哪两样东西？
5.Ann发送给她的秘密爱人的附件的名称是什么？
6.Ann发送给她的秘密爱人的附件的MD5是多少？
7.Ann和她的秘密情人在哪个城市和国家集合点？
8.附件文档中嵌入的图像的MD5是多少？

2.报文分析

Ann的电子邮件地址是什么？

sneakyg33k@aol.com

Ann的电子邮件密码是什么？

558r00lz
邮箱协议