网络在传输我们——数据流功能 - 《Wireshark 简明指南》

我们经常会遇到访问某个网站时，却不小心下载了木马的情形。尤其是让人感到郁闷的是，下载木马的过程完全是不可见的。不过即便如此，这个木马文件仍然需要以数据包的形式进行传输，所以我们可以用WireShark来检测到它。
最初设计WireShark的目的是用来检查网络中的问题，不过随着使用者技能的不断娴熟，他们也发现了WireShark还可以胜任更多的任务，而网络取证就是其中重要的一项。取证者只需要监控网络中的通信，就可以清楚的发现网络中用户的行为。例如某个用户从外网下载了什么文件，或者它通过电子邮件向外发送了什么文件等等。

TCP的数据传输
具体分析一下TCP数据传输的过程，这是一个由服务器向客户端传递数据的实例。

服务器再发送的数据包中设置tcp.flags.push =1tcp.flags.ack = 1。

服务器会将要传输的数据添加到数据包的Data部分

服务器将这个数据包发送出去。

在网络数据传输过程中，有用的wireshark显示过滤器包括以下几个
data：只显示包含数据的数据包
tcp.flags == 0x0018：显示所有的PSH，ACK数据包
tcp.flags == 0x0011：显示所有的FIN和ACK数据包
tcp.flags == 0x0010：显示所有的ACK数据包

WireShark中的TCP流功能
WireShark中File菜单中提供了“Export Objects”功能，这个功能可以导出HTTP和TCP数据流中的文件。

这里以http_witp_jpegs.cap为了，这次传输过程中由服务端向客户端传送了一个文件，这里就以还原文件为例。其中序号为269的数据包

在这个数据包上单击鼠标右键，然后再选中“追踪流”|“TCP流”。

整个数据流会在一个单独的窗口中显示出来，这个窗口中的全部数据一两种颜色显示，红色：源地址——>目的地址。蓝色：目的地址——>源地址

我们过滤其中的GET请求，具体方法是单击左侧的下拉列表框。选中蓝色

然后右侧选择”原始数据”

然后保存，随意指定文件名，后缀为bin。
这个文件除了包含目标图片之外，还包含一些多余的数据，接下来就需要使用WinHex将其去除

在”Type：image/jpeg”后面加上图片的实际内容，在中键有两个换行符。

把0D 0A 0D 0A包含而且前面删除掉，然后保存，以后缀为jpeg。

网络取证实践
从网络通信中导出文件，这其实也正是网络取证工作中重要的一个环节。
http://forensicscontest.com/puzzles
https://blog.csdn.net/qq_36810852/article/details/107367520
难题1：安的不良目标
Anarchy-R-Us，Inc.怀疑他们的一名雇员Ann Dercover确实是为竞争对手工作的秘密特工。Ann可以使用公司的奖励资产，即秘方。安全人员担心安可能会泄露公司的秘密秘方。
安全人员一直在监视Ann的活动，但直到现在都没有发现可疑之处。今天，一台意外的笔记本电脑短暂出现在公司的无线网络上。工作人员假设它可能是停车场中的某个人，因为在建筑物中没有看到陌生人。安的计算机（192.168.1.158）通过无线网络向该计算机发送了IM。此后不久，流氓笔记本电脑便消失了。
安全人员说：“我们对活动进行了数据包捕获，但是我们无法弄清楚发生了什么。你能帮我吗？”
您是法医调查员。您的任务是弄清楚Ann是谁的IM-ing，她发送了什么，并找回证据，包括：

Ann的IM好友的名字是什么？
捕获的IM对话中的第一个评论是什么？
Ann传送的文件的名称是什么？
您要提取的文件（前四个字节）的幻数是多少？
文件的MD5sum是什么？
什么是秘方？

数据包除了ARP和TCP数据包之外，第23个数据包显示是用来SSL协议

虽然是加密的格式，我们猜测这就是Ann在和外界通信时产生的数据包。这个数据包的目的地址是 64.12.24.50

原来这就是Ann所使用的通信工具——AIM，另外还查询到了这个工具使用的是443端口。
Wireshark提供对各种通信工具的解密方法，我们把它当做AIM协议来解析。

这里原来显示为SSL的数据包，现在都已经显示为AIM信息了