网络诈骗取证必看:Wireshark 手把手教你抓取关键证据
当前位置:点晴教程→知识管理交流
→『 技术文档交流 』
介绍网络诈骗取证必看:Wireshark 手把手教你抓取关键证据 Wireshark 抓包技术 数据包筛选与分析 证据链的完整性 流程环境及设备
内容1)运用Wireshark软件执行网络取证工作,以实现对网络数据流进行深度监听与分析。 2)分析网络协议,数据包 3)对数据包进行追踪,并保存其原始形态,以便之后能够将原始数据完整还原。 步骤1) 首先,请在命令提示符窗口中执行ping baidu.com的操作,以此来获取该域名的IP地址信息。 然后在过滤器上输入目标的IP地址及所需的协议。 2) 数据包详情区域,您需要先在数据包列表中选中特定的数据包,随后该数据包的所有详细内容将会在数据包详情区域展示出来。这个数据包详情区域是整个界面中最为核心的部分,它允许用户逐一检查协议中所包含的各个字段。每一行所呈现的信息具体包括: (1)Frame: 物理层的数据帧概况 (2)Ethernet II: 数据链路层以太网帧头部信息
(3)Internet Protocol Version 6: 互联网层IP数据包的头部信息 (4)Transmission Control Protocol v6: 传输层T的数据段头部信息,此处是TCP
深入解析TCP数据包的各个组成部分,并对照Wireshark捕获到的具体数据包进行逐一对应分析。 TCP数据报格式如下: 源端口号 (Source Port):占用16位,标识发送端口。 目标端口号 (Destination Port):同样占用16位,表示接收端口。 序列号 (Sequence Number):这个32位的字段是用来对数据包进行排序和重新组装的,其目的是保证数据在接收端能够按照正确的顺序进行重组。 确认号 (Acknowledgment Number):占用32位,用于确认已接收到的数据。 数据偏移 (Data Offset):占用4位,指示TCP报文头部的长度,以4字节为单位。因此,最大值为15,最大TCP头部长度为60字节。 保留位 (Reserved):占用六个字符位置,此字段为保留字段,当前处于未使用状态,应将其值设定为零。 控制位 (Flags):占用6个比特位,其主要作用是用于表明TCP连接当前所处的状态,同时也负责对TCP连接进行各种控制操作。这些标志位中较为常见的有: URG:紧急指针(Urgent Pointer)有效 ACK:确认号(Acknowledgment Number)有效 PSH:接收方应尽快将数据推送给应用程序 RST:重置连接 SYN:同步序号用于发起一个连接 FIN:结束连接 窗口大小 (Window Size):在16位的数据字段中,该字段用于标示发送方所维持的接收窗口尺寸,其主要功能是进行流量控制。 校验和 (Checksum):占用16位,用于检测数据在传输过程中的错误。 紧急指针 (Urgent Pointer):占用16位,仅当URG标志被设置时有效,用于指示紧急数据的位置。 选项 (Options):它根据实际需求动态调整其长度,以便在必要时存储额外的数据,例如MSS(Maximum Segment Size,最大报文段长度)和窗口扩大因子等参数。 数据 (Data):TCP数据报的实际载荷,长度可变。 在wireshark中详细的信息如下:
获取到的数据包集合中,每一个数据包均由编号、时间戳、源地址、目标地址、协议类型、长度以及具体数据信息所构成。为了便于辨识,系统针对采用不同协议的数据包在展示时采用了差异化的颜色编码方案进行标记。 ****3)****将要抓取的图片发送给任意QQ好友
因为我们发送的图片是jpg格式,所以图片的16进制编码头几位为ffd8ff,其他格式自行查询 在这个阶段,我们运用了追踪TCP流的技术手段,并结合对文件头编码的细致搜索,成功定位到了相关的数据流,并且持续追踪该TCP流。 抓取传输过程中的.jpg文件
追踪流
Ctr+alt+shift+t 将原始数据以文件形式存储在本地设备上
在您完成上述任务之后,请使用WinHex程序来访问刚才保存的文件。
这时把 “FF D8 FF”前面删掉即可得到图片。
通过使用Wireshark进行网络数据包捕获与分析,成功实现了图片数据的恢复。 阅读原文:原文链接 该文章在 2026/1/4 18:31:36 编辑过 |
关键字查询
相关文章
正在查询... 
|
400 186 1886
