抓取网页数据违法吗(手机电子数据取证技术的不断发展，如何抓网络数据包)

　　抓取网页数据违法吗(手机电子数据取证技术的不断发展，如何抓网络数据包)

　　编者按：随着手机电子数据取证技术的不断发展，手机取证不再局限于传统的手机记录数据的获取。对于手机电子数据取证，也可以从网络方面入手，通过网络协议对手机中的相关数据进行分析。本期，四川省数据恢复重点实验室的研究人员将介绍如何通过路由器提取手机数据抓包。

　　一、背景介绍

　　用户在使用手机上网时，手机在不断地收发数据包，而这些数据包中收录着大量的用户信息，包括各种账号信息、聊天信息、收发文件、电子邮件、和浏览的网页。虽然很多信息是经过加密传输的，但还是会有大量的信息是明文传输的，或者经过分析可以解密的，比如账户信息、文件、邮件、一些聊天信息等。这些数据包将通过路由器分发。我们只需要对路由器进行抓取和分析，即可提取出用户的各种信息，无需在用户手机中安装应用插件。

　　二、环境建设

　　使用桥接模式在有无线网卡的电脑上搭建路由器。也可以使用360免费wifi提供热点，这样就可以抓取连接wifi的手机发送的网络数据包。

　　三、如何抓取网络数据包

　　目前市场上有很多抓包工具。例如，Wireshark 是较为成熟的一种。除了抓包，还自带一些简单的分析工具。这些抓包工具的原理都是通过winpcap提供的强大的编程接口来实现的。下面以Wireshark为例，说明如何抓包网络数据包。

　　首先打开软件配置，以及网络抓包需要的参数，如图1。如果你对协议比较熟悉，可以选择一个过滤器，方便的过滤掉你不关心的数据包分析。比如我们知道微信朋友圈是TCP协议，端口号是443和80，可以根据这个信息选择对应的过滤器，然后选择要抓包的网卡，开始抓网包。

　　图1：Wireshark抓包参数配置

　　四、网络数据包分析

　　Wireshark在捕获网络数据包时，分为三个部分显示捕获的结果，如图2所示。第一个窗口显示捕获的数据包列表，中间的窗口显示当前选择的数据包的简单分析内容，底部窗口显示当前选定数据包的十六进制值。

　　图2：Wireshark抓包结果窗口

　　以微信的一个协议包为例。抓包操作完成后，就抓到了用户通过手机发送的一个完整的对话信息包，如图3所示，根据对话包，显示手机（ip为172.1< @9.90.2，端口号51005）通过TCP-HTTP协议连接服务器（id为121.51.130.113，端口号80） 相互传输数据。

　　图3：发送信息包

　　前三个包是手机和服务器相互确认身份（TCP三次握手）传输的包，没有重要信息，主要看第四个包，如图4所示。

　　Frame：物理层数据帧概览；

　　Ethernet II：数据链路层以太网帧头信息，包括发送方和目标方的MAC地址信息；

　　Internet Protocol Version 4：Internet层IP包头信息；

　　传输控制协议：传输层数据段的头信息，这里是TCP协议；

　　Hypertext Transfer Protocol：应用层信息，这里是HTTP协议；

　　Media Type：传输的具体数据；

　　图4：手机发送信息包

　　这里主要分析应用层和数据层的内容，如图5所示，可以看出服务器域名为，信息提交地址为/mmtls/04a2f532，数据层数据长度为834字节，并且十六进制面板中的蓝色区域是发送的数据，但是数据内容是经过复杂加密的，暂时不可用。

　　图5：TCP的应用层和数据层

　　这样我们也可以对发送的图片和视频等信息进行分析，后续的提取工作就可以交给代码了。

　　概括：

　　利用路由器抓包提取手机数据是一种全新的手机数据提取方法，对手机电子数据取证具有重要意义，是未来研究的重点方向。数据恢复四川省重点实验室研究人员现已开发出相关程序，可以捕获和分析网络数据包，支持多种协议的分析。预计相关产品将于近期正式上线。