基於 MSN 與網站之網路鑑識系統 Network Forensics System for MSN and Websites

1. 基於MSN與網站之網路鑑識系統Network Forensics System for MSN and Websites 951439 951452 951436 賴明隆陳昀齊高梓淵 指導教授：黃士殷教授

2. Outline • 程式目標……………………………………………3 • 程式功能……………………………………………4 • 流程圖………………………………………………5 • 程式環境……………………………………………6 • 程式架構……………………………………………7 • 實作方法……………………………………………8 • 程式介面………………………………………9、10

3. 程式目標 • 軟體概述： • 利用網路封包中的內文檢索儲存及分析，達到網路鑑識的目的 • 此系統可分析網路封包中有關文字對話內容如 • 通訊軟體MSN • 網站記錄 • 社群網站(Plurk)

4. 程式功能 • 即時封包側錄 • 儲存網路卡雜湊模式下所有流過的封包資料 • 原始封包備份 • 將原始的封包資料另做備份成唯讀檔(Read-only)，以確保封包資料不被更改的完整性。 • 分析MSN對話紀錄 • 從已儲存封包資料中針對MSN封包作分析 • 分析社群網站內文 • 從已儲存封包資料中針對社群網站封包作分析 • 網站瀏覽分類整理 • 將封包中使用者瀏覽過的網站記錄作分類整理呈現

5. 流程圖

6. 程式環境

7. 程式架構 線上抓取封包 資料庫 分析封包檔 查詢msn對話記錄 封包檔 查詢http中plurk對話記錄 查詢對話在封包檔內的第幾個封包內.並顯示出來 將網路使用記錄 存成一個封包檔 可讓使用者查詢ip.帳號.暱稱..並顯示出相對應的對話 查詢http瀏覽記錄 網路使用者

8. 實作方法 • 函式庫 • Libpcap • 利用pcap實作擷取封包的功能並儲存 • Libnids • 利用nids可做pcap檔案(封包資料)的開啟整理 • 利用nids整理大量封包資料，分析其基本標頭資訊 • MySQL • 利用資料庫儲存大量封包資料 • 將針對特定封包儲存呈現並做進一步的操作 • Gtk+ /glabe • 圖形化使用者介面使使用者操作更簡便

9. 程式介面 • 基本介面-封包側錄 功能選取 輸入過濾方式 輸入要抓取的封包 輸入總共抓取的時間 檔案儲存路徑瀏覽 檔案名稱輸入

10. 程式介面 • 基本介面-封包分析 開啟封包檔案 可輸入想過濾的port 勾選特定封包分析 另外儲存成txt檔 輸入儲存至Database的帳號密碼 Database 的表格名稱輸入 可以一鍵執行所勾選的功能