編者按： 隨著手機(jī)電子數(shù)據(jù)取證技術(shù)的不斷發(fā)展，手機(jī)取證已經(jīng)不再局限于傳統(tǒng)的獲取手機(jī)中已記錄的數(shù)據(jù)。對手機(jī)電子數(shù)據(jù)取證而言，也可以從網(wǎng)絡(luò)方面入手，通過網(wǎng)絡(luò)協(xié)議解析出手機(jī)中的相關(guān)數(shù)據(jù)。本期，數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員將介紹如何通過路由器抓包提取手機(jī)數(shù)據(jù)。

一、背景介紹

當(dāng)用戶使用手機(jī)訪問網(wǎng)絡(luò)時(shí)，手機(jī)在不斷接受與發(fā)送數(shù)據(jù)包，而這些數(shù)據(jù)包中包含了大量的用戶信息，包括各種賬號信息、聊天信息、發(fā)送接收文件、郵件、瀏覽的網(wǎng)頁等。雖然很多信息是加密傳輸?shù)?，但還是會(huì)有大量信息是明文傳輸或者經(jīng)過分析可以解密的，如賬號信息、文件、郵件、部分聊天信息等。這些數(shù)據(jù)包都會(huì)通過路由器進(jìn)行分發(fā)，我們只需要對路由器進(jìn)行抓包和分析，就能提取到用戶的各種信息，而不需要在用戶手機(jī)中安裝應(yīng)用插件。

二、環(huán)境搭建

在有無線網(wǎng)卡的電腦上利用網(wǎng)橋模式搭建好路由器，也可以利用360免費(fèi)wifi提供一個(gè)熱點(diǎn)，這樣就可以抓取到連接上WiFi的手機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包。

三、如何抓網(wǎng)絡(luò)數(shù)據(jù)包

目前市面上有很多抓包工具，比如Wireshark就是其中比較成熟的一款，除了抓包以外還配帶一些簡單分析的工具。這些抓包工具的原理都是通過winpcap提供的強(qiáng)大的編程接口來實(shí)現(xiàn)，下面以Wireshark為例，講解如何進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)抓包。

打開軟件配置，網(wǎng)絡(luò)抓包所需參數(shù)，如圖1。在比較熟悉協(xié)議的情況下，可選擇過濾器，過濾掉不關(guān)心的數(shù)據(jù)包，以方便分析。例如，我們知道微信朋友圈為TCP協(xié)議，端口號為443和80，可以根據(jù)這些信息選擇相應(yīng)的過濾器，然后選擇要捕獲的網(wǎng)卡，開始捕獲網(wǎng)絡(luò)數(shù)據(jù)包。

圖1：Wireshark抓包參數(shù)配置

四、網(wǎng)絡(luò)數(shù)據(jù)包分析

抓取網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，Wireshark分為三個(gè)板塊顯示抓取結(jié)果，如圖2。第一個(gè)窗口顯示了捕獲包的列表，中間窗口顯示了當(dāng)前選擇包的簡單解析內(nèi)容，最下面窗口顯示了當(dāng)前選擇包的十六進(jìn)制值。

圖2：Wireshark捕包結(jié)果窗口

以微信的一個(gè)協(xié)議包為例，經(jīng)過捕包操作，捕獲到了用戶通過手機(jī)發(fā)送信息的一個(gè)完整的對話包，如圖3。根據(jù)該對話包，顯示手機(jī)（ip為172.19.90.2，端口號51005）是通過TCP-HTTP協(xié)議與服務(wù)端（id為121.51.130.113，端口號80）互相傳輸數(shù)據(jù)的。

圖3：發(fā)送信息數(shù)據(jù)包

前三個(gè)包為手機(jī)與服務(wù)端相互確認(rèn)身份所傳輸?shù)陌═CP的三次握手），沒有什么重要信息，主要看第四個(gè)包，如圖4。其中：

Frame：物理層的數(shù)據(jù)幀概況；

Ethernet II：數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息，包括發(fā)送端和目標(biāo)端MAC地址信息等；

Internet Protocol Version 4：互聯(lián)網(wǎng)層IP包頭部信息；

Transmission Control Protocol：傳輸層的數(shù)據(jù)段頭部信息，此處是TCP協(xié)議；

Hypertext Transfer Protocol：應(yīng)用層的信息，此處是HTTP協(xié)議；

Media Type：傳輸?shù)木唧w數(shù)據(jù)；

圖4：手機(jī)發(fā)送信息數(shù)據(jù)包

這里主要分析應(yīng)用層和數(shù)據(jù)層內(nèi)容，如圖5。可以看出，服務(wù)端域名為szextshort.weixin.qq.com，信息提交地址為/mmtls/04a2f532，數(shù)據(jù)層數(shù)據(jù)長度為834字節(jié)，其中十六進(jìn)制面板中藍(lán)色區(qū)域及為發(fā)送的數(shù)據(jù)，但數(shù)據(jù)內(nèi)容是通過復(fù)雜加密的，暫時(shí)無法獲取。

圖5：TCP的應(yīng)用層和數(shù)據(jù)層

通過這種方式，我們也可以分析出發(fā)送的圖片及視頻等信息，后續(xù)提取工作就可以交給代碼實(shí)現(xiàn)。

小結(jié)：

利用路由器抓包提取手機(jī)數(shù)據(jù)是一種全新的手機(jī)數(shù)據(jù)提取方式，對手機(jī)電子數(shù)據(jù)取證有重要意義，是未來研究的一個(gè)重點(diǎn)方向。數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員目前已經(jīng)研發(fā)出相關(guān)的程序，可實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包抓取和分析，支持對多種協(xié)議的解析，預(yù)計(jì)相關(guān)產(chǎn)品不久后將正式上市。