張侃短文集錦 E-Detective 網路監聽系統之工作原理

甲. Sniffer網路基礎原理技巧詳解
一、Sniffer歷史
Sniffer是一個古老的技術，關於駭客、網管、警察及情報人員在網路上使用Sniffer來獲取資訊已經不是什麼新鮮事，過去有很多成功破案的案例。什麼是Sniffer呢？ Sniffer就是網路竊聽器，Sniffer靜悄悄的工作在網路的底層，把你的秘密全部記錄下來。看過威爾史密斯演的《全民公敵》電影嗎？ Sniffer就像電影裏面精巧的竊聽器一樣，讓你防不勝防的先進技術及設備。

Sniffer可以是軟體，也可以是結合了軟體的硬體(Appliance)，既然是軟體那就要分作業系統，常見的有在Windows、 UNXI 、Linux 、FreeBSD等作業系統下操作的，硬體的Sniffer稱為網路封包探嗅器，不論是硬體設備或者是軟體，功能目的只有一個，就是要擷取在網路上傳輸的各種封包及資訊。

當你在收取你的Email時或者是上eBay購買你喜歡的物品的時候，你是否會想到你的朋友寄給你的電子郵件，你的信用卡帳號變成了一個又一個的資訊封包在網路上不停的傳送時，些資訊封包會被有心人士監聽呢？你的擔憂不是沒有道理的，因為Sniffer可以讓你的擔憂變成實際發生的危險。就如同電話線路可以被竊聽一樣。

二、網路基礎知識
在此簡單的介紹一下網路基礎知識

（1）TCP/IP結構
開放系統互連（OSI）模型將網路劃分為七層模型，分別用以在各層上實現不同的功能。

這七層分別為：應用層、表示層、會話層、傳輸層、網路層、資料連結層及物理層。而TCP/IP體系也同樣遵循這七層標準，只不過在某些OSI功能上進行了壓縮，將表示層及會話層合併入應用層中，所以實際上我們打交道的TCP/IP僅僅有5層而已，網路上的分層結構決定了在各層上的協議分佈及功能實現，從而決定了各層上網路設備的使用。實際上很多成功的系統都是基於OSI模型的，如：如封包中繼、ATM、ISDN 等。

TCP/IP的網路體系結構
-----------------------------------
| SMTP | DNS | HTTP | FTP | TELNET| 應用層
-----------------------------------
| TCP | UDP | 傳輸層
-----------------------------------
| IP | ICMP | ARP RARP | 網路層
------------------------
| IEEE 802 乙太網 SLIP/PPP PDN etc| 資料連結層
-----------------------------------
| 網卡電纜雙絞線 etc | 物理層
-----------------------------------

從上面的圖中我們可以看出，第一層物理層和第二層資料連結層是TCP/IP的基礎，而TCP/IP本身並不十分關心低層，因為處在資料連結層的網路設備驅動程式將上層的協定和實際的物理介面隔離開來。網路設備驅動程式位於介質訪問子層(MAC)。

（2）和封包擷取有關的網路設備
路由器Router：路由器又稱為路徑器，用戶在網路層上連接不同網路所用的硬體與軟體，路由器與橋接器 (Bridge) 的功能類似，藉著將許多較小的網路連結在一起，以便有效擴充網路。路由器可以連接使用不同網際網路通訊協定 (IP ) 和傳輸方法的區域網路 (LAN ) 。
交換機Switch : 作用是在連接區域網路，使得眾多區域網路連結起來，而成為一個大的網際網路。

（3）TCP/IP與乙太網路
乙太網路和TCP/IP可以說是相互相成的，可以說兩者的關係幾乎是密不可分，乙太網路在一和二層提供物理上的聯機，而 TCP/IP工作在上層，使用32位元的IP位址，乙太網則使用48位元的MAC位址，兩者間使用ARP和RARP協議進行相互轉換。從我們上面 TCP/IP的模型圖中可以清楚的看到兩者的關係。

載波監聽/衝突檢測(CSMA/CD)技術被普遍的使用在乙太網中，所謂載波監聽是指在乙太網中的每個站點都具有同等的權利，在傳輸自己的資料時，首先監聽信道是否空閒，如果空閒，就傳輸自己的資料，如果通道被佔用，就等待通道空閒。而衝突檢測則是為了防止發生兩個站點同時監測到網路沒有被使用時而產生衝突。乙太網採用廣播機制，所有與網路連接的工作站都可以看到網路上傳遞的資料。

下面的圖是一個典型的在乙太網中客戶與伺服器使用

TCP/IP協議的通信。

用戶進程 FTP客戶 <-------------------------> FTP伺服器應用層

| |

內核中的協議棧 TCP <-------------------------> TCP 傳輸層

| |

內核中的協定棧 IP <-------------------------> IP 網路層

| |

乙太網驅動程式 <-------------------------> 乙太網驅動程式資料連結層

──────-------------------------------

三、Sniffer的原理
要知道在乙太網中，所有的通訊都是廣播的，也就是說通常在同一個網段的所有網路介面都可以訪問在物理媒體上傳輸的所有資料，而每一個網路介面都有一個唯一的硬體位址，這個硬體位址也就是網卡的MAC位址，大多數系統使用48 bit的位址，這個位址用來表示網路中的每一個設備，一般來說每一塊網卡上的MAC位址都是不同的，每個網卡廠家得到一段位址，然後用這段位址分配給其生產的每個網卡一個位址。在硬體位址和IP位址間使用ARP和RARP協議進行相互轉換。

在正常的情況下，一個網路介面應該只回應這樣的兩種封包資料：

1.與自己硬體位址相匹配的封包資料。
2.發向所有機器的廣播封包資料。

在一個實際的系統中，資料的收發是由網路卡來完成工作的，網卡接收到傳輸來的資料，網卡內的單片程式接收資料封包的目的MAC位址，根據電腦上的網卡驅動程式設置的接收模式判斷該不該接收，認為該接收就接收後產生中斷信號通知CPU，認為不該接收就丟掉不管，所以不該接收的資料網卡就截斷了，電腦根本就不知道。CPU得到中斷信號產生中斷，作業系統就根據網卡的驅動程式設置的網卡中斷程式位址調用驅動程式接收資料，驅動程式接收資料後放入信號堆疊讓作業系統處理。而對於網卡來說一般有四種接收模式：

廣播方式：	該模式下的網卡能夠接收網路中的廣播資訊。
組播方式：	設置在該模式下的網卡能夠接收組播資料。
直接方式：	在這種模式下，只有目的網卡才能接收該資料。
混雜模式：	在這種模式下的網卡能夠接收一切通過它的資料，而不管該資料是否是只傳給它的。

總結一下，首先，我們知道了在乙太網路中是基於廣播方式傳送資料的，也就是說，所有的實體信號都要經過我的機器，再次，網卡可以置於一種模式叫混雜模式（promiscuous），在這種模式下工作的網卡能夠接收到一切通過它的資料，而不管實際上資料的目的地址是不是他。這實際上就是我們Sniffer 工作的基本原理讓網卡接收一切他所能接收的資料。

我們來看一個簡單的例子，機器A、B、C與集線器HUB相連接，集線器HUB通過路由器Router訪問外部網路。這是一個很簡單也很常見的情況，比如說在公司大樓裏，我所在的網路部辦公室裏的幾台機器通過集線器連接，而網路部、開發部、市場部也是同樣如此，幾個部門的集線器通過路由器連接。還是回到我們的圖一上來，值得注意的一點是機器A、B、C使用一個普通的HUB連接的，不是用SWITCH，也不是用ROUTER，使用 SWITCH和ROUTER的情況要比這複雜得多。

我們假設一下機器A上的管理員為了維護機器C，使用了一個FTP命令向機器C進行遠端登陸，那麼在這個用HUB連接的網路裏資料走向過程是這樣的。首先機器 A上的管理員輸入的登陸機器C的FTP命令經過應用層FTP協定、傳輸層TCP協定、網路層IP協定、資料連結層上的乙太網路驅動程式一層一層的包裹，最後送到了物理層，我們的網線上。接下來封包資料送到了HUB上，現在由HUB向每一個接點廣播由機器A發出的封包資料，機器B 接收到由HUB廣播發出的封包資料，並檢查在封包資料中的位址是否和自己的地址相匹配，發現不是發向自己的後把這封包資料丟棄，不予理睬。而機器C也接收到了封包資料，並在比較之後發現是發現自己的，接下來他就對這封包資料進行分析處理。

在上面這個簡單的例子中，機器B上的管理員如果很好奇，他很想知道究竟登陸機器C上FTP命令是什麼？那麼他要做的很簡單，僅僅需要把自己機器上的網卡置於混雜模式，並對接收到的封包資料進行分析，從而找到寺包含在封包資料中的資訊。

四、做一個自己的sniffer
在上一節裏，我們已經知道了Sniffer的基本原理是怎麼一回事，這一節我們來親自動手做一個自己的sniffer，用程式碼來解釋比什麼都要來得真實，也更容易理解。

回頭想一想我們上面說的原理，我們要做的事情有幾件：

1. 把網卡置於混雜模式。 2. 擷取數據包。 3. 分析資料包。

注：下面的源始碼取至Chad Renfro的<< Basic Packet-Sniffer Construction from the Ground Up>>一文中

/************************Tcp_sniff_2.c********************/
1.#include
2.#include
3.#include
4.#include
5.#include
6.#include
7.#include
8.#include
9.#include "headers.h"
#define INTERFACE "eth0"
/*Prototype area*/
10.int Open_Raw_Socket(void);
11.int Set_Promisc(char *interface, int sock);
12.int main() {
13.int sock, bytes_recieved, fromlen;
14.char buffer[65535];
15.struct sockaddr_in from;
16.struct ip *ip;
17.struct tcp *tcp;
18.sock = Open_Raw_Socket();
19. Set_Promisc(INTERFACE, sock);
20. while(1)
22. {
23. fromlen = sizeof from;
24. bytes_recieved = recvfrom(sock, buffer, sizeof buffer, 0, (struct sockaddr *)&from, &fromlen);
25. printf("\nBytes received ::: %5d\n",bytes_recieved);
26. printf("Source address ::: %s\n",inet_ntoa(from.sin_addr));
27. ip = (struct ip *)buffer;
/*See if this is a TCP packet*/
28. if(ip->ip_protocol == 6) {
29. printf("IP header length ::: %d\n",ip->ip_length);
30. printf("Protocol ::: %d\n",ip->ip_protocol);
31. tcp = (struct tcp *)(buffer + (4*ip->ip_length));
32. printf("Source port ::: %d\n",ntohs(tcp->tcp_source_port));
33. printf("Dest port ::: %d\n",ntohs(tcp->tcp_dest_port));
34. }
35. }
36.}
37.int Open_Raw_Socket() {
38. int sock;
39. if((sock = socket(AF_INET, SOCK_RAW, IPPROTO_TCP)) < 0) {
/*Then the socket was not created properly and must die*/
40. perror("The raw socket was not created");
41. exit(0);
42. };
43. return(sock);
44. }
45.int Set_Promisc(char *interface, int sock ) {
46. struct ifreq ifr;
47. strncpy(ifr.ifr_name, interface,strnlen(interface)+1);
48. if((ioctl(sock, SIOCGIFFLAGS, &ifr) == -1)) {
/*Could not retrieve flags for the interface*/
49. perror("Could not retrive flags for the interface");
50. exit(0);
51. }
52. printf("The interface is ::: %s\n", interface);
53. perror("Retrieved flags from interface successfully");
54. ifr.ifr_flags |= IFF_PROMISC;
55. if (ioctl (sock, SIOCSIFFLAGS, &ifr) == -1 ) {
/*Could not set the flags on the interface */
56. perror("Could not set the PROMISC flag:");
57. exit(0);
58. }
59. printf("Setting interface ::: %s ::: to promisc", interface);
60. return(0);
61. }
/***********************EOF**********************************/

上面這段程式中有很詳細的註解，首先

第10行--int Open_Raw_Socket(void); 是我們的自定函數，內容如下：

37.int Open_Raw_Socket() {
38. int sock;
39. if((sock = socket(AF_INET, SOCK_RAW, IPPROTO_TCP)) < 0) {
/*Then the socket was not created properly and must die*/
40. perror("The raw socket was not created");
41. exit(0);
42. };
43. return(sock);
44. }

第39行 if((sock = socket(AF_INET, SOCK_RAW, IPPROTO_TCP)) < 0) {

這裏我們使用了socket函數，使創建了一個原始套件介面，使之擷取TCP/IP封包資料。

接下來第11行-int Set_Promisc(char *interface, int sock)，這也是我們的自定函數，目的是把網卡設定到混雜模式，內容如下：

45.int Set_Promisc(char *interface, int sock ) {
46. struct ifreq ifr;
47. strncpy(ifr.ifr_name, interface,strnlen(interface)+1);
48. if((ioctl(sock, SIOCGIFFLAGS, &ifr) == -1)) {
/*Could not retrieve flags for the interface*/
49. perror("Could not retrive flags for the interface");
50. exit(0);
51. }
52. printf("The interface is ::: %s\n", interface);
53. perror("Retrieved flags from interface successfully");
54. ifr.ifr_flags |= IFF_PROMISC;
55. if (ioctl (sock, SIOCSIFFLAGS, &ifr) == -1 ) {
/*Could not set the flags on the interface */
56. perror("Could not set the PROMISC flag:");
57. exit(0);
58. }
59. printf("Setting interface ::: %s ::: to promisc", interface);
60. return(0);
61. }

首先 struct ifreq ifr;定一了一個ifrreg的結構ifr，接下來strncpy(ifr.ifr_name, interface,strnlen(interface)+1);，就是把我們網路設備的名字填寫到ifr結構中，在這裏 #define INTERFACE "eth0" ，讓我們再往下看,

ioctl(sock, SIOCGIFFLAGS, &ifr),SIOCGIFFLAGS請求表示需要獲取介面標誌，現在到了第54行，在我們成功的獲取介面標誌後把他設定成混雜模式，

ifr.ifr_flags |= IFF_PROMISC;ioctl (sock, SIOCSIFFLAGS, &ifr)。OK，現在我們所說的第一步已經完成--------把網卡設定在混雜模式。

現在進入第二步，擷取封包資料。從第20行開始，我們進入了一個迴圈， while(1)，在第24行，recvfrom(sock, buffer, sizeof buffer, 0, (struct sockaddr *)&from, &fromlen)，這個函數要做的就是接收資料，並且把接收到的資料放入buffer中。就是這麼簡單，已經完成了我們要擷取封包資料的任務。

到了第三步，分析封包資料。27行，ip = (struct ip *)buffer，使我們在頭檔中的IP結構對應於所接收到的資料，接下來判斷在網路層中是否使用的是TCP協議，if(ip-> ip_protocol == 6) ，如果答案是，tcp資訊包從整個IP/TCP包 buffer + (4*ip->ip_length) 位址處開始，所以31行 tcp = (struct tcp *)(buffer + (4*ip->ip_length))，然後對應結構把你所需要的資訊輸出。

/*************************headers.h**************************/
/*structure of an ip header*/
struct ip {
unsigned int ip_length:4; /*little-endian*/
unsigned int ip_version:4;
unsigned char ip_tos;
unsigned short ip_total_length;
unsigned short ip_id;
unsigned short ip_flags;
unsigned char ip_ttl;
unsigned char ip_protocol;
unsigned short ip_cksum;
unsigned int ip_source; unsigned int ip_dest;
};
/* Structure of a TCP header */
struct tcp {
unsigned short tcp_source_port;
unsigned short tcp_dest_port;
unsigned int tcp_seqno;
unsigned int tcp_ackno;
unsigned int tcp_res1:4, /*little-endian*/
tcp_hlen:4,
tcp_fin:1,
tcp_syn:1,
tcp_rst:1,
tcp_psh:1,
tcp_ack:1,
tcp_urg:1,
tcp_res2:2;
unsigned short tcp_winsize;
unsigned short tcp_cksum;
unsigned short tcp_urgent;
};

/*********************EOF***********************************/

從上面的分析我們可以清楚的認識到，認識一個Sniffer需要對TCP/IP協定有著詳細的瞭解，否則你根本無法找到你需要的資訊。有了上面的基礎，你可以自己來做一個你需要的Sniffer了。

五、常用的Sniffer
很少有原因會讓你自己親自動手來做一個自己的Sniffer，除非你是想瞭解他的原理，或者是其他一些特別的原因，比如你要在某個特殊的環境攔截一些特殊的資料包。下面我們就來看看一些在網路上經常使用的Sniffer。

（1）Windows環境下
Windows環境下最著名的是Netxray以及Sniffer pro。

（2）UNUX及Linux環境下
UNUX及Linux環境下的sniffer種類煩多,如sniffit, snoop, tcpdump, dsniff等都是比較常見的，他們都有一個好處就是提供免費的原始碼供你研究使用。

1. Sniffit
Sniffit可以運行在Solaris、SGI和Linux等平臺上，由Lawrence Berkeley Laboratory 實驗室開發的一個免費的網路監聽軟體。最近Sniffit 0.3.7也推出了NT版本，並也支援WINDOWS 2000.
你可以在這裏找到sniffit
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html

2. snoop
若安裝在Solaris下，是一個用於顯示網路交通的程式，不過Sniffer是把雙刃劍，既然管理員能用他來監視自己的網路，當然一個心懷惡意的入侵者也可以用他來Sniffer自己感興趣的內容。值得一提的是，SNOOP被發現存在一個緩衝區溢出漏洞，當以導致入侵者以運行 snoop(通常為root)的身份遠端進入系統。

3. tcpdump
tcpdmp是一個知名度很高的網路監聽軟體，FREEBSD還把他附帶在了系統上，是一個被很多UNIX高手認為是一個專業的網路管理工具。

4. dsniff
之所以要談談dsniff，是因為他不僅僅是一個sniffer軟體，在他的整個套件包中，包含了很多其他有用的工具，如 arpspoof，dnsspoof，macof，tcpkill等等，Sniffer的手段更加的多樣和複雜化。dsniff是由DugSong開發的你可以在他的主頁上找到這個工具。目前dsniff支持OpenBSD (i386), Redhat Linux (i386), 和Solaris (sparc). 並且在FreeBSD, Debian Linux, Slackware Linux, AIX,和HP-UX上也能運轉得很好。但是dsniff需要幾個其他家的軟體共同使用，他們分別是，Berkeley DB ，OpenSSL， libpcap， libnet， libnids。如果條件允許的話，你最好能夠親自讀一讀dsniff的原始碼，你可以在
http://naughty.monkey.org/~dugsong/
找到dsniff。

六、深入之Sniffer之運用
單純的Sniffer的功能始終是有限的，所以在大多數的情況下，Sniffer往往和其他程式結合起來使用， Sniffer和 spoof以及其它程式結合在一起使用對網路封包解析較為完整。單純的Sniffer好比缺了一隻腿，無法發揮大的作用，例如在Sniffer原理一節中我們討論的例子裏，我一再的強調我們使用的是一個普通的HUB進行連接是有原因的，如果我們將HUB用一個switch代替，那情況就要複雜一些了，我們的機器A、B、C與Switch相連接，而Switch通過路由器Router訪問外部網路。我們先來瞭解Switch的工作原理：

在HUB 只是簡單地把所接收到的信號通過所有埠（除了信號來的那個埠口）重複發送出去不同，而的Switch卻可以檢查每一個收到的資料包，並對資料包進行相應的處理。

在Switch內保存著每一個網段上所有節點的物理位址，只允許必要的網路流量通過Switch。舉例來說，當Switch接收到一個封包資料之後，根據自身保存的網路位址表檢查資料包內包含的發送和接收方位址。如果接收方位於發送方之網段，該資料包就會被 Switch丟棄，不能通過交換機傳送到其他的網段；如果接收方和發送方位於兩個不同的網段，該資料包就會被Switch轉發到目標之網段。這樣，通過交換機的過濾和轉發，可以有效避免網路廣播碰墟，減少錯誤封包和破碎封包的出現。現在市售多為Switch。

現在回到我們的例子中來，我們假設機器A上的管理員為了維護機器C，使用了一個FTP命令向機器C進行遠端登入，那麼在這裏，資料是這樣走的：首先機器A上的管理員輸入的登陸機器C的FTP指令經過應用層FTP協定、傳輸層TCP協定、網路層IP協定、資料連結層上的乙太網路驅動程式一層一層的包裹，最後送到了物理層，我們的網線上。接下來封包資料送到了Switch上，而Switch檢查封包資料中的目的地址，並在他自身保存的網路位址表中知道了他應該把這封包資料發到機器C那裏，於是，接下來機器C接收到了從A發來的資訊，發現他是發給自己的資訊，於是進行分析處理。

OK，現在我們機器B上的管理員的好奇心只能深深的埋藏在心裏了，因為資料包根本就沒有經過他，就算他把自己的網卡設置成混雜模式也是有力無處使。

乙. 電腦鑑識 (Computer Forensics)

一、電腦鑑識
電腦鑑識 (Computer Forensics)是利用科學的方法對電腦等資訊科技設備進行犯罪蒐證，以提供有力的線索，來幫助犯罪案件的偵察或是法庭的審訊。電腦鑑識並不是一項新興的科學研究，在歐美等國家約於十年前就己經成立了專業的電腦鑑識部門，為政府或軍警等執法單位提供犯罪蒐證資訊，以及資源和人才之整合。由於網路及電腦設備的日漸普及，在許多商業環境如公司行號內控稽核也開始有了這類的需求，因此這幾年電腦鑑識才開始逐漸商業化。再加上高科技犯罪事件成長比率過高、科技進步過於迅速、案件複雜性也日漸提昇，使得政府或軍警等執法單位有限的電腦鑑識人員也力不從心，而一些政府執法單位開始對外與業界的專業人才合作，共同進行案件偵辦使用之鑑識設備製造研發工程工作。而網路封包擷取與還原解析正是屬於電腦鑑識科學之一部份。

二、常見網路上傳送的封包
電腦在網路上傳送的封包信息，常見的至少有500 ~ 600種，這些常見的服務容易被利用為犯罪媒介者包含:
1. 電子郵件與新聞群組(Email and News Group)，
2. 即時信息(Instant Message)，
3. 檔案傳遞(FTP)，
4. 網頁瀏覽(Web Browser)，
5. 網頁郵件(Web Mail)，
6. 遠端登入(Telnet)，
7. 網路電話(VOIP)及視訊會議(Video Conference)，
8. 綫上遊戲(Network Online Game)
註:
E-Detective系統目前可監視監聽側錄之網路服務
藍色為已全部完成紅色為部分完成黑色為尚未執行

三、以下是各類封包解析應用之簡單說明：

a.	以電子郵件來說，依POP3 (寄入郵件)及SMTP (寄出郵件)分為二大類，在這二大類之下又可分至少10多種小型不同的傳輸方式，其各自擁有不盡相似的訊框模式。
b.	以時下最流行的網頁郵件(Web Mail)來說，更是依ISP或者是提供服務業者之不同，而各有各自之不同訊框規範。
c.	即時信息則包含了國內最大使用族群之MSN、ICQ/AOL、 Yahoo及 QQ… …等不同公司或組織提供的服務。而每一種即時信息服務又可能因為不同網路環境而創造不同封包傳遞方式。
d.	E-Detective系統目前可監視監聽側錄之網頁郵件計有: Yahoo Hotmail hinet seednet url pchome sina yam Giga 163.net ( mail.tom.com ) www.163.com ( mail.163.com ) sohu.com Maildozy (Thailand)

註: 更多種類之Web Mail 隨時可依需求加入.

四、專業知識及對科技本身的瞭解

封包解譯工作重要的一環就是專業知識及對科技本身的瞭解。由於科技本身進步快速，因此對不同科技平台進行犯罪蒐證可以說是完全不同的領域。例如在 Windows 作業系統上蒐證，則完全和在 Linux 作業系統上不同，所要注意的事項及步驟也不同。就算是在同一平台上，可是對不同科技的蒐證還是需要採用不同的技巧，例如同樣是在 Windows平台上，而且同樣是電子郵件系統 (Email Client)，但是對 MS outlook 及對 Lotus Notes 所需採取的封包解譯蒐證技巧則是完全不同的。在封包解譯工作中常常會遭遇到在課本上沒有學過的規格，而世界上也找不到完整的文獻來記載說明這些規格，甚至於連產生這些封包的軟體都是我們未曾見過或未知規格的應用軟體。因此我們得像大海撈針般提起信心，鼓起勇氣靠著拼大型拼圖般的方法，一點一點盲人摸象般將真實湊出來，設法還原到原狀；再重新寫出原始規格，找出規則。有時候我們會遭遇到一些困境，畢竟，我們是利用還原工程來解譯資訊，我們並不一定能向原設計者請益，只能靠己知的知識儘量去假設。偶爾也會因由於不同的 E-Mail 收發軟體、或是 FTP、或是即時通信軟體在不同的網路環境或架構下，封包或訊框格式會產生不同結構，而發生封包解譯凸槌的事件。在此一狀況下只好重建模擬環境，找出原因改進程式或者是硬體裝置。畢竟這些封包解譯的應用程式是經過使用者長期使用經驗，及實用需求所提出之建議，不斷改進而將各種網路架構上所遭遇的困難之處予以修正完成(註一)。

如同刑事鑑定泰斗李昌鈺博士所說過的話：『每顆子彈在製造過程中，或者是擊發後都會在物理上產生工具痕，只要依工具痕就有機會找到來源，追出真象』。數位鑑識技巧亦同，每個不同應用軟體或者是設備，產生的封包亦會具有其獨特的工具痕。當我們利用一些方法鑑別出封包其所包含的工具痕時，就幾乎可以確定我們可以完成正確解譯並還原此一規格封包，無論是網頁郵件(Web Mail)、FTP、Telnet、即時信息(IM)、甚至於 VOIP、影像… …等。還有另一項令我們覺得麻煩及吃力的工作，因為我們不但要解譯封包，還要將其納入資料庫中管理、備查，因此解譯所得結果，常需做格式轉換以便資料正確呈現，使得它成為一套非常複雜地系統。

註一：
例如私人研究MSN 網站 http://www.hypothetic.org/docs/msn/index.php
It is written primarily for programmers that want to write software that uses the MSN Messenger protocol.

例如私人研究ICQ 網站 http://iserverd.khstu.ru/oscar/
OSCAR. "Open System for Communication in Realtime" - the internal project name (as opposed to the external marketing name) used to identify Instant Messenger protocol.

這皆是由一群愛好者族群共同維護，在這個網站上說明了資料多來自推演及猜測。

五、未來系統發展之展望 – 目標成為多元功能之專業系統
過去一年系統開始發展並成為專業刑事鑑識工具之始，研發目標著重於基礎封包解譯及網路應用程式之研究。由於基礎封包解譯及網路應用程式之研究已經完成，未來一年將著重於下列研究重點：
a. 進階封包解析之研究與加強改進
b. 網路電話(VOIP)及視訊會議(Video conference)側錄監聽
c. 無綫網路監聽及定位
d. 其他因臨時性需要產生之研究題目
e. 資料加密與解密技術研究

張侃 May. 08, 2005