文章关键词：电子数据取证、计算机取证、手机取证、网络安全、电子物证

在进行网络流量分析中，往往需要从获取到的流量包中导出文件，进行更仔细的检查。本文主要介绍如何从流量包中，导出不同类型的文件。

知识领域

一、主要介绍以下几个协议文件的导出：

1.从HTTP流量导出文件

2.从SMB流量导出文件。

3.从SMTP流量导出文件。

4.从FTP流量导出文件。

操作步骤

一、从HTTP流量导出文件

使用wireshark打开例1.pacp文件，使用http.request过滤流量包，找到两个GET请求，第一个请求以doc文件结束，第二个请求以exe文件结束。

现在将这两个文件进行导出，我们可以点击文件—导出对象—HTTP。分别导出两个文件到指定目录。

通过HTTP导出网页文件，打开例2.pacp文件，流量中包含某人在虚假的PayPal登录页面上输入登录凭据的流量。

我们使用导出HTTP功能，导出网页文件，即可显示出PayPal的登录界面。

二、从SMB流量中导出文件

某些恶意软件使用Microsoft的服务器消息块（SMB）协议在基于Active Directory（AD）的网络中传播。一个名为Trickbot的银行木马早在2017年7月就添加了一个蠕虫模块，该模块使用基于EternalBlue的漏洞通过SMB在网络上传播。我们今天继续寻找这个Trickbot蠕虫模块的迹象。

使用wireshark打开例3.pacp文件，点击文件—导出对象—SMB，就可以导出SMB流量中的文件。

请注意列表中间附近的两个条目，其中\\10.6.26.6\C$作为主机名。仔细检查它们各自的文件名字段，表明这是两个Windows可执行文件。

在“内容类型”列中，我们需100%导出这些文件的正确副本。任何小于100%的数字都表示网络流量中存在一些数据丢失，从而导致文件副本损坏或不完整。

三、从SMTP流量导出电子邮件

某些类型的恶意软件意图将受感染的Windows主机变成垃圾邮件机器人。这些垃圾邮件机器人每分钟发送数百条垃圾邮件或恶意电子邮件。在某些情况下，消息是使用未加密的SMTP发送的，我们可以从感染主机的流量中导出这些邮件消息。

使用Wireshark中打开例4.pcap，可以在使用smtp.data.fragment进行筛选，会筛选出50个主题行示例。这来自单个受感染的Windows主机五秒钟内的网络流量。

点击文件—导出对象—IMF，即可导出邮件消息。IMF代表Internet Message Format，它被保存为文件扩展名为eml的名称。

保存后的eml文件，可以使用邮件客户端进行查看，或者使用文本编辑器进行查看。

四、从FTP流量导出文件

某些恶意软件家族在恶意软件感染期间使用FTP，然后将受感染的Windows主机的信息发送回同一FTP服务器。

使用wireshark打开例5.pacp，使用ftp.request.command进行过滤，查看FTP命令。找到一个用户名（USER）和密码（PASS），请求检索（RETR）五个Windows可执行文件：q.exe，w.exe，e.exe，r.exe和t.exe。接下来大约每18秒将基于html的日志文件存储（STOR）回传同一FTP服务器的请求。

现在我们已经了解了检索和发送的文件，我们可以使用ftp-data筛选器查看来自FTP数据通道的流量。

我们不能使用Wireshark中的“导出对象”功能来导出这些文件。但是，我们可以从每个通道的数据通道跟踪TCP流。右键单击以（SIZEq.exe）结尾的任意一行，选择其中一个TCP段。

这将通过FTP数据通道启动q.exe的TCP流。窗口底部附近有一个标记为“显示和保存数据为”的按钮样式菜单，默认为ASCII，单击菜单并选择“原始数据”。这时该窗口应显示十六进制字符，而不是ASCII，使用窗口底部附近的“另存为...”按钮将其另存为原始二进制文件。即可导出对应文件。

总结

使用本文中概述的方法，我们可以使用Wireshark从流量包中提取各种文件。当需要分析网络流量并检查网络流量中的项目时，这是非常有用的。