网页抓取手机号(手机电子数据取证技术的不断发展，如何抓网络数据包)

　　网页抓取手机号(手机电子数据取证技术的不断发展，如何抓网络数据包)

　　编者按：随着手机电子数据取证技术的不断发展，手机取证不再局限于传统的获取手机中记录的数据。对于手机电子数据取证，我们也可以从网络入手，通过网络协议对手机中的相关数据进行分析。本期，四川数据恢复重点实验室的研究人员将介绍如何通过路由器抓包来提取手机数据。

　　一、背景

　　当用户使用手机上网时，手机会不断地接收和发送数据包，而这些数据包中收录了大量的用户信息，包括各种账户信息、聊天信息、收发文件、电子邮件、和浏览网页。虽然很多信息都是经过加密传输的，但是还是有很多信息是明文传输或者分析后可以解密的，比如账号信息、文件、邮件，还有一些聊天信息。这些数据包将通过路由器分发。我们只需要捕获和分析路由器，提取用户的各种信息，而不需要在用户的手机中安装应用插件。

　　二、环境建设

　　使用桥接模式在有无线网卡的电脑上搭建路由器，也可以使用360免费wifi提供热点，这样就可以捕获手机连接wifi时发送的网络数据包。

　　三、如何捕获网络数据包

　　目前市面上有很多抓包工具。例如，Wireshark 是比较成熟的之一。除了抓包外，它还附带了一些简单的分析工具。这些抓包工具的原理是通过winpcap提供的强大的编程接口来实现的。下面以Wireshark为例，讲解如何抓取网络数据包。

　　首先打开软件配置，网络抓包所需的参数，如图1所示。如果你对协议比较熟悉，可以选择一个过滤器，把你不关心的数据包过滤掉，方便分析。比如我们知道微信朋友圈是TCP协议，端口号是443和80，我们可以根据这个信息选择对应的过滤器，然后选择要抓包的网卡，开始抓包。

　　图1：Wireshark抓包参数配置

　　四、网络数据包分析

　　抓包时，Wireshark分为三个部分展示抓包结果，如图2所示。第一个窗口显示捕获的数据包列表，中间窗口显示当前选中的数据包的简单解析内容，底部窗口显示当前所选数据包的十六进制值。

　　图 2：Wireshark 捕获结果窗口

　　以微信的一个协议包为例，经过抓包操作后，抓取到用户通过手机发送的信息的完整对话包，如图3所示。根据对话包显示：手机（ip为172.19.90.2，端口号51005）连接服务器（id为172.1< @0.2，端口号51005）121.51.130.113，端口号80）互相传输数据。

　　图 3：发送信息包

　　前三个包是手机和服务器发送的确认相互身份的包（TCP三次握手），没有重要信息，主要看第四个包，如图4所示：

　　Frame：物理层的数据帧概览；

　　Ethernet II：数据链路层以太网帧头信息，包括发送者和目的地的MAC地址信息；

　　Internet Protocol Version 4：Internet层IP包头信息；

　　传输控制协议：传输层数据段的头信息，这里是TCP协议；

　　Hypertext Transfer Protocol：应用层信息，这里是HTTP协议；

　　媒体类型：要传输的具体数据；

　　图4：手机发送信息包

　　这里主要分析应用层和数据层的内容，如图5所示，可以看出服务器域名为，信息提交地址为/mmtls/04a2f532，数据层数据长度为834字节，而十六进制面板中的蓝色区域是发送的数据，但是数据内容是经过复杂加密的。， 暂时不可用。

　　图 5：TCP 的应用层和数据层

　　这样我们也可以分析发送的图片、视频等信息，后续的提取工作就可以交给代码了。

　　摘要：利用路由器抓包提取手机数据是一种新的手机数据提取方法，对手机电子数据取证具有重要意义，是未来研究的重点方向。数据恢复四川省重点实验室的研究人员开发了相关程序，可以捕获和分析网络数据包，支持各种协议的分析。预计相关产品将于近期正式推出。