如何通過路由器抓包提取手機數據

2021-01-08 IT168

編者按: 隨著手機電子數據取證技術的不斷發展,手機取證已經不再局限於傳統的獲取手機中已記錄的數據。對手機電子數據取證而言,也可以從網絡方面入手,通過網絡協議解析出手機中的相關數據。本期,數據恢復四川省重點實驗室科研人員將介紹如何通過路由器抓包提取手機數據。


一、背景介紹

      當用戶使用手機訪問網絡時,手機在不斷接受與發送數據包,而這些數據包中包含了大量的用戶信息,包括各種帳號信息、聊天信息、發送接收文件、郵件、瀏覽的網頁等。雖然很多信息是加密傳輸的,但還是會有大量信息是明文傳輸或者經過分析可以解密的,如帳號信息、文件、郵件、部分聊天信息等。這些數據包都會通過路由器進行分發,我們只需要對路由器進行抓包和分析,就能提取到用戶的各種信息,而不需要在用戶手機中安裝應用插件。


二、環境搭建

      在有無線網卡的電腦上利用網橋模式搭建好路由器,也可以利用360免費wifi提供一個熱點,這樣就可以抓取到連接上WiFi的手機發送的網絡數據包。


三、如何抓網絡數據包

      目前市面上有很多抓包工具,比如Wireshark就是其中比較成熟的一款,除了抓包以外還配帶一些簡單分析的工具。這些抓包工具的原理都是通過winpcap提供的強大的編程接口來實現,下面以Wireshark為例,講解如何進行網絡數據抓包。

      首先,打開軟體配置,網絡抓包所需參數,如圖1。在比較熟悉協議的情況下,可選擇過濾器,過濾掉不關心的數據包,以方便分析。例如,我們知道微信朋友圈為TCP協議,埠號為443和80,可以根據這些信息選擇相應的過濾器,然後選擇要捕獲的網卡,開始捕獲網絡數據包。

圖1:Wireshark抓包參數配置


四、網絡數據包分析

      抓取網絡數據包時,Wireshark分為三個板塊顯示抓取結果,如圖2。第一個窗口顯示了捕獲包的列表,中間窗口顯示了當前選擇包的簡單解析內容,最下面窗口顯示了當前選擇包的十六進位值。

圖2:Wireshark捕包結果窗口

      以微信的一個協議包為例,經過捕包操作,捕獲到了用戶通過手機發送信息的一個完整的對話包,如圖3。根據該對話包,顯示手機(ip為172.19.90.2,埠號51005)是通過TCP-HTTP協議與服務端(id為121.51.130.113,埠號80)互相傳輸數據的。

圖3:發送信息數據包

      前三個包為手機與服務端相互確認身份所傳輸的包(TCP的三次握手),沒有什麼重要信息,主要看第四個包,如圖4。其中:

Frame:物理層的數據幀概況;

Ethernet II:數據鏈路層乙太網幀頭部信息,包括發送端和目標端MAC地址信息等;

Internet Protocol Version 4:網際網路層IP包頭部信息;

Transmission Control Protocol:傳輸層的數據段頭部信息,此處是TCP協議;

Hypertext Transfer Protocol:應用層的信息,此處是HTTP協議;

Media Type:傳輸的具體數據;

圖4:手機發送信息數據包

      這裡主要分析應用層和數據層內容,如圖5。可以看出,服務端域名為szextshort.weixin.qq.com,信息提交地址為/mmtls/04a2f532,數據層數據長度為834位元組,其中十六進位面板中藍色區域及為發送的數據,但數據內容是通過複雜加密的,暫時無法獲取。

圖5:TCP的應用層和數據層

      通過這種方式,我們也可以分析出發送的圖片及視頻等信息,後續提取工作就可以交給代碼實現。


小結: 

      利用路由器抓包提取手機數據是一種全新的手機數據提取方式,對手機電子數據取證有重要意義,是未來研究的一個重點方向。數據恢復四川省重點實驗室科研人員目前已經研發出相關的程序,可實現網絡數據包抓取和分析,支持對多種協議的解析,預計相關產品不久後將正式上市。


相關焦點

  • Excel如何通過函數進行數據提取?
    Excel函數的提取分為三部分,左側數據提取、中間數據提取和右側數據的提取,一起來看看吧!一、Excel如何通過函數進行左側數據提取?excel中的函數有非常強大的作用,下面小編來教大家如何使用函數對左側的數據進行提取吧。1.我們打開excel表格,想要對左邊六位數字進行提取出來。2.在空白列中輸入函數left。3.在公式中輸入單元格用逗號隔開,提取的數量是六位數。
  • python爬蟲學習之路-抓包分析
    抓包的作用我把抓包分析的作用簡單列一下:分析請求的headers等等,可以加載到你的爬蟲中,偽裝成瀏覽器。往往可以躲過簡單的反扒策略登錄狀態獲取,如果我們在瀏覽器中登錄,抓包拿到cookies,加到我們的爬蟲中,往往就可以繞過登錄這道坎,爬蟲直接登堂入室,抓取更有價值的數據post請求,例如頁面中通過post提交的表單。
  • 如何對手機http進行抓包?Fiddler工具超好用
    如果當前項目沒有接口文檔,則可以使用fiddler對APP進行抓包確認。在手機上對APP進行操作,然後在Fiddler中可以抓取對應的網絡交互信息(一個功能中可能設計多個接口的交互)。在抓取的信息中可以看到接口請求方式、接口請求URL、接口請求參數、接口返回參數。
  • 安卓手機網絡抓包分析,小白也能輕鬆上手
    目前的電詐案件,以安卓智慧型手機裸聊app形式的居多,而查找固定該APP的IP位址和回傳數據,是偵破此類案件的關鍵。以往分析此類apk程序,大都是以apk程序脫殼逆向為主,過程複雜,效率低下,一線辦案人員不能夠快速掌握相關技能。
  • 如何查看提取手機行蹤軌跡?
    本期作為手機定位最後一期內容,將講解手機行蹤軌跡的產生與提取。新聞回放:百度地圖發布「五一」出行大數據五一」小長假剛剛結束,百度地圖發布了「2016年」五一」出行大數據」,圍繞「五一」期間全國重點城市的交通情況、全國熱門景區、自駕和出境熱門目的地等,盤點了小長假國民出行的實況(如圖1)。
  • Excel如何通過函數提取中英文混合數據?
    Excel中中英文混合數據的提取,一般來說是使用快速填充的方法,這個比較快速,但是如果使用函數來提取的話,這個就有點小麻煩,不過小編慢慢來講解一下如何操作。1.我們打開excel表格要將商品名稱中的漢語和英語分開。
  • 手機數據提取的終極方案之一
    SCE9168手機晶片數據提取系統是效率源繼2008年推出FLASH數據恢復大師後,針對手機晶片再次推出的強大系統。本產品軟硬體一體,可對手機摔壞、碾壓、浸泡、火災、電路板燒毀等情況下的數據進行高效提取分析處理,是目前解決手機數據提取的終極方案之一。
  • 小米手機備份文件數據提取研究
    編者按:手機數據提取通常有三種方式:一是先ROOT∕越獄,再通過USB提取數據;二是先獲取手機物理鏡像∕刷包成功後獲取手機物理鏡像,再分析鏡像數據;三是通過電腦端∕手機端進行手機數據備份,再解析備份。
  • 手機MTP方式數據提取研究
    來源:效率源科技(ID:xiaolvyuantech)目前,大部分手機數據提取方式都需要先將手機進行
  • 抓包技術詳解及抓包軟體介紹
    就是將網絡傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作,也用來檢查網絡安全。抓包也經常被用來進行數據截取等。一些原理和概念性的東西如果詳解估計一本書也寫不完,為了快速進入正文,有些概念和原理不明白的還請大家自行去百度一下。本文講解的抓包是一個主動的過程,主要抓取某個軟體或某個app的數據包。和黑客技術中的嗅探有所不同,還請區分。抓包工具介紹:Wireshark,在N久以前也叫Ethereal。
  • 使用Fiddler網絡抓包玩轉另類Loadrunner腳本開發
    手機連接WIFI時,要設置代理,IP輸入本機的路由器分配的IP位址,埠設置為8888。1.3 錄製本機客戶端,Fiddler配置如果客戶端採用JAVA開發,可以通過JAVA的命令行參數進行代理指定,具體命令行增加的參數如下:-DproxyHost=XXX.XXX.XXX.XXX-DproxyPort=8888。
  • 安卓抓包
    1.安卓工具中的AndroidShark,可以將手機的wifi以及2G/3G上網數據包根據自己的需求進行抓取 2.也可以抓取運行的本機log 3.可以將抓到的數據包發送到自己的郵箱內或通過微信等方式傳輸到電腦進行分析
  • 白帽子黑客抓包工具排行榜
    網絡安全的白帽子黑客都有一些心水的抓包工具,抓包工具是攔截查看網絡數據包內容的軟體。白帽子黑客用抓包工具來分析報文,針對漏洞做一些滲透測試。下面對白帽子黑客常用的五種網絡抓包工具做了個整理。第五名:TCPDump(網絡類)根據白帽子黑客抓包工具的使用率,將TCPdump排在第五的位置。
  • 「黑客」必用兵器之「網絡抓包工具」
    官方定義:抓包(packet capture)就是將發送與接收的進行截獲、重發、編輯、轉存等操作,也用來檢查網絡安全。抓包也經常被用來進行數據截取等。對於白帽子黑客來說抓包的目的就是分析網絡報文、定位網絡接口問題、分析應用數據接口、學習網絡協議,使用抓包工具可以直觀的分析出網絡數據 。
  • 抓包分析乙太網幀和IP數據包,頭部那麼多東東用來幹啥的,掃盲篇
    目錄抓包過程乙太網幀(也叫MAC幀)首部分析IP數據包首部分析抓包過程使用了 Wireshark 進行抓包,用兩個最常用的 curl 和 ping 命令來演示抓包情況,開啟抓包。片偏移:偏移量,標識數據包的第一個字節是整個數據包的第幾個偏移量,此處抓包的片偏移量是0,因為他沒有分片
  • 天旦NPM,除了「抓包」更有專家級的分析力
    原先工具做到哪,我比工具強一點」的運維水平,如何快速達到專家的級別?  讓我們來看看普通的網絡工程師是如何應對網絡故障的。網絡出問題,先看數據包。打開Wireshark和Tcpdump抓包,感覺總是差點勁。龐大的網絡架構,得看多少數據包才能一招制勝,找到問題位置?加班是小,影響業務和營收才是關鍵。
  • Fiddler+Proxifer工具對windows PC客戶端進行抓包
    爬蟲就必定繞不開抓包,主要有以下三類:1.網頁抓包,這是目前最常見的就是了,可以使用chrome進行,或者配合其他抓包軟體 fiddler。2.手機抓包,小程序有些興起是,如跳一跳之類的,催生了很多手機抓包教程。3.比較少見的一類抓包,就是抓windows平臺下客戶端的包,如PC版騰訊視頻。
  • 住房公積金如何提取?廣州公積金**提取可用手機端
    一般情況下,遇到買房、租房、裝修等情況,大多數人都會採取住房公積金貸款也可以用住房公積金還款,那麼住房公積金要如何提取呢?  公積金提取,是指繳存人按照公積金提取的要求,到公積金提取辦理的相關部門辦理公積金提取手續,將公積金帳戶內的部分或全部金額提取到個人銀行帳戶。
  • 淺談智慧型手機遭遇意外不能正常開機,如何提取機身的用戶數據
    不論是我們日常生活中,還是辦案需要,往往都會遇到一些意外情況,導致手機不能夠正常開機,一部分可以通過維修達成目的,而另外一部分相對來說就比較困難了,小編藉此和大家聊聊,不能正常開機啟動的智慧型手機,如何提取用戶數據。
  • 淺談智慧型手機遭遇意外不能正常開機,如何提取機身的用戶數據.
    而另外一部分相對來說就比較困難了,小編藉此和大家聊聊,不能正常開機啟動的智慧型手機,如何提取用戶數據。採用MTK/高通晶片,能夠進入MTK usb com,或者高通 9008埠的,我們可以嘗試通過com口進行鏡像或者直接去提取數據(RX-Unlocker9000支持4000多款未加密機型通過此種方式進行數據提取),這種方式好處在於,通訊方式和手機的系統沒有多少關係,就算系統徹底破壞掉,完全不能引導的情況下(徹底黑屏不開機)我們依然能夠嘗試用此方式進行提取數據。