Forensics2

题目分析

wireshark about file

解题过程

1. 首先是下载文件之后发现是pcap结尾的文件。然后用Wireshark打开进行分析。
2. 进入之后先是理解了10.0.0.22作为客户端与10.0.0.2作为服务器三次握手的过程。

3. 浏览全部协议主要有TCP/SSHv2/NFS/MOUNT/ICMP/ARP

   TCP 传输控制协议（Transmission Control Protocol，TCP）是一种面向连接的、可靠的、基于字节流的运输层通信协议,主要用于在主机间建立一个虚拟连接，以实现高可靠性的数据包交换。
   SSHv2 为建立在应用层和传输层基础上的安全协议,是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题.
   NFS (Network File System)即网络文件系统，是FreeBSD支持的文件系统中的一种，它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样。
   MOUNT 在linux系统下，此命令用来将其他文件系统(FAT32 NTFS 光驱)的分区挂接到系统的制定目录下使用。
   ICMP 它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。
   ARP 即地址解析协议，实现通过IP地址得知其物理地址。

4. 综合分析上述因素，我们的重点应该放在NFS上面

5. 过滤NFS的选项进行查看，发现有flag的txt文件

点击进入这一条之后，没有发现详细信息里面有特殊信息，于是向上找，
找到了Write写入字样的NFS,

查找后可以看到如下截图：

对这一条数据进行右键——>显示分组字节，将解码方式设置为压缩
EIS{Nfs_G00d_f0r_Trust3d_Netw0rk_0nly}