通過(guò)路由器也能提取到手機(jī)數(shù)據(jù)-通過(guò)路由器也能提取到手機(jī)數(shù)據(jù)嘛編者按：隨著手機(jī)電子數(shù)據(jù)取證技術(shù)的不斷發(fā)展，手機(jī)取證已經(jīng)不再局限于傳統(tǒng)的獲取手機(jī)中已記錄的數(shù)據(jù)。對(duì)手機(jī)電子數(shù)據(jù)取證而言，也可以從網(wǎng)絡(luò)方面入手，通過(guò)網(wǎng)絡(luò)協(xié)議解析出手機(jī)中的相關(guān)數(shù)據(jù)。本期，數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員將介紹如何通過(guò)路由器抓包提取手機(jī)數(shù)據(jù)。一、背景介紹當(dāng)用戶使用手機(jī)訪問(wèn)網(wǎng)絡(luò)時(shí)，手機(jī)在不斷接受與發(fā)送數(shù)據(jù)包，而這些數(shù)據(jù)包中包含了大量的用戶信息，包括各種賬號(hào)信息、聊天信息、發(fā)送接收文件、郵件、瀏覽的網(wǎng)頁(yè)等。雖然很多信息是加密傳輸?shù)模€是會(huì)有大量信息是明文傳輸或者經(jīng)過(guò)分析可以解密的，如賬號(hào)信息、文件、郵件、部分聊天信息等。這些數(shù)據(jù)包都會(huì)通過(guò)路由器進(jìn)行分發(fā)，我們只需要對(duì)路由器進(jìn)行抓包和分析，就能提取到用戶的各種信息，而不需要在用戶手機(jī)中安裝應(yīng)用插件。二、環(huán)境搭建在有無(wú)線網(wǎng)卡的電腦上利用網(wǎng)橋模式搭建好路由器，也可以利用360免費(fèi)wifi提供一個(gè)熱點(diǎn)，這樣就可以抓取到連接上WiFi的手機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包。三、如何抓網(wǎng)絡(luò)數(shù)據(jù)包目前市面上有很多抓包工具，比如Wireshark就是其中比較成熟的一款，除了抓包以外還配帶一些簡(jiǎn)單分析的工具。這些抓包工具的原理都是通過(guò)winpcap提供的強(qiáng)大的編程接口來(lái)實(shí)現(xiàn)，下面以Wireshark為例，講解如何進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)抓包。首先，打開(kāi)軟件配置，網(wǎng)絡(luò)抓包所需參數(shù)，如圖1。在比較熟悉協(xié)議的情況下，可選擇過(guò)濾器，過(guò)濾掉不關(guān)心的數(shù)據(jù)包，以方便分析。例如，我們知道微信朋友圈為TCP協(xié)議，端口號(hào)為443和80，可以根據(jù)這些信息選擇相應(yīng)的過(guò)濾器，然后選擇要捕獲的網(wǎng)卡，開(kāi)始捕獲網(wǎng)絡(luò)數(shù)據(jù)包。圖1：Wireshark抓包參數(shù)配置四、網(wǎng)絡(luò)數(shù)據(jù)包分析抓取網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，Wireshark分為三個(gè)板塊顯示抓取結(jié)果，如圖2。第一個(gè)窗口顯示了捕獲包的列表，中間窗口顯示了當(dāng)前選擇包的簡(jiǎn)單解析內(nèi)容，最下面窗口顯示了當(dāng)前選擇包的十六進(jìn)制值。圖2：Wireshark捕包結(jié)果窗口以微信的一個(gè)協(xié)議包為例，經(jīng)過(guò)捕包操作，捕獲到了用戶通過(guò)手機(jī)發(fā)送信息的一個(gè)完整的對(duì)話包，如圖3。根據(jù)該對(duì)話包，顯示手機(jī)（ip為172.19.90.2，端口號(hào)51005）是通過(guò)TCP-，信息提交地址為/mmtls/04a2f532，數(shù)據(jù)層數(shù)據(jù)長(zhǎng)度為834字節(jié)，其中十六進(jìn)制面板中藍(lán)色區(qū)域及為發(fā)送的數(shù)據(jù)，但數(shù)據(jù)內(nèi)容是通過(guò)復(fù)雜加密的，暫時(shí)無(wú)法獲取。圖5：TCP的應(yīng)用層和數(shù)據(jù)層通過(guò)這種方式，我們也可以分析出發(fā)送的圖片及視頻等信息，后續(xù)提取工作就可以交給代碼實(shí)現(xiàn)。小結(jié)：利用路由器抓包提取手機(jī)數(shù)據(jù)是一種全新的手機(jī)數(shù)據(jù)提取方式，對(duì)手機(jī)電子數(shù)據(jù)取證有重要意義，是未來(lái)研究的一個(gè)重點(diǎn)方向。數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員目前已經(jīng)研發(fā)出相關(guān)的程序，可實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包抓取和分析，支持對(duì)多種協(xié)議的解析，預(yù)計(jì)相關(guān)產(chǎn)品不久后將正式上市。