所以我想知道我们如何利用Wireshark来查看用户是否通过互联网下载了txt文件。
我在运行wireshark时试过这个: https://code.google.com/p/androidnetworktester/downloads/detail?name=1mb.txt
我跟着HTTP流,可以看到URL和一堆,但在PCAP数据包正文中,我无法在任何地方找到1mb.txt文件。只是好奇,如果我们正在进行取证工作,我们如何使用此wireshark信息证明该人真正下载了这个?是因为它使用SSL,PCAP中的所有文本都散布着随机代码吗?
非常感谢
答案 0 :(得分:1)
如果我们正在进行取证工作,我们如何使用此wireshark信息证明该人真正下载了此信息
除非您能够解码内容,否则您无法从数据包捕获中真正证明这一点。在大多数情况下,这是不可能的,但是如果您可以访问站点的私钥(通常不是因为它是私有的),并且如果使用了RSA密钥交换,那么您可以在捕获后解码流量。 / p>
您可以从数据包捕获中获得的是请求的目标主机,但不是确切的URL甚至是内容。但是如果数据包捕获的长度与内容的长度相匹配(传输中存在一些开销),并且如果您知道这是此大小的服务器上的唯一文件,那么您可能至少有一个指示用户可能已下载此文件。但作为一个真正的证明可能还不够。 如需更多证明,您可以查看浏览器的历史记录。