forensicscontest测试三

Ann’s AppleTV

Ann and Mr. X have set up their new base of operations. While waiting for the extradition paperwork to go through, you and your team of investigators covertly monitor her activity. Recently, Ann got a brand new AppleTV, and configured it with the static IP address 192.168.1.10. Here is the packet capture with her latest activity.

You are the forensic investigator. Your mission is to find out what Ann searched for, build a profile of her interests, and recover evidence including:

1. What is the MAC address of Ann’s AppleTV?

2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?

4. What was the title of the first movie Ann clicked on?

5. What was the full URL to the movie trailer (defined by “preview-url”)?

6. What was the title of the second movie Ann clicked on?

7. What was the price to buy it (defined by “price-display”)?

8. What was the last full term Ann searched for?

Here is your evidence file:

http://forensicscontest.com/contest03/evidence03.pcap

MD5 (evidence03.pcap) = f8a01fbe84ef960d7cbd793e0c52a6c9

核心翻译：

安的苹果电视

安和X先生已经建立了新的业务基地。在等待引渡文书通过的同时，你和你的调查小组秘密监视她的活动。最近，Ann获得了一个全新的AppleTV，并将其配置为静态IP地址192.168.1.10。下面是她的最新活动的数据包捕获。

您的任务是找出Ann搜索的内容，建立她的兴趣档案，并收集证据，包括：

1.Ann的AppleTV的MAC地址是什么？

2.Ann的AppleTV在HTTP请求中使用了什么User-Agent？

3.Ann在AppleTV上的前四个搜索词是什么（所有增量搜索都计算在内）？

4.安点击的第一部电影的标题是什么？

5.电影预告片的完整URL是什么（由“preview-url”定义）？

6.安点击的第二部电影的标题是什么？

7.购买它的价格是多少（由“价格显示”定义）？

8.安最后搜索的完整词条是什么？

这是您的证据文件：

http://forensicscontest.com/contest03/evidence03.pcap

MD5：f8a01fbe84ef960d7cbd793e0c52a6c9

解答思路：

1、根据IP地址，随意找到一个对应的数据包，自二层解析中，可以发现MAC地址，保险起见，可以多找几个不连续的会话，进一步确认是否存在MAC地址变更。MAC地址为：00-25-00-fe-7-c4。

2、找到HTTP数据包，展开HTTP协议部分，即可找到userAgent字段：AppleTV/2.4。

3、继续分析数据包，在HTTP协议下追踪流（192号数据包），可以发现Ann向苹果itunes的search站点请求过疑似搜索的数据。前4个搜索词为：h、ha、hac、hack。

4、继续分析数据包：可以发现关键地址“viewMovie”，以及响应报文中title字段：hackers

5、在此HTTP流中搜索preview-url，可得结果：http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v

6、使用同样的方法，得到第二部电影的信息：sneakers

7、继续分析HTTP流：价格为$9.99

8、使用前面搜索的关键连接，分析报文，即可发现：iknowyourewatchingme