繼大前天的Puzzle #1解題遊戲，這次Ann又發生了什麼事情了呢？今天就來介紹如何用Wireshark來解出第二個題組「Puzzle #2: Ann Skips Bail」（網址：http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail ），請先至該題網址中觀看詳細故事前提，並且把pcap檔下載下來。

這次的題目跟Email有關係，所以先稍微幫大家複習一下幾個常見與Email相關的協定名稱，包含簡單郵件傳輸協定（Simple Mail Transfer Protocol, SMTP）、郵局協定第3版（Post Office Protocol，POP）及網際網路資訊存取協定（Internet Message Access Protocol，IMAP ）。

第1題：What is Ann’s email address?
因為是email，就直接找smtp協定的封包，所以在指令下smtp過濾出使用這個協定的封包，並在封包上按右鍵，選擇Follow > TCP Stream，點開來就看到Ann的Email就是sneakyg33k@aol.com。

第2題：What is Ann’s email password?
接續上一題的Follow > TCP Stream畫面，可以在裡面看到AUTH LOGIN的字樣，其中334 VXNlcm5hbWU6用base 64編碼還原後可以得到username，334 UGFzc3dvcmQ6用base 64 編碼還原後可以得到password，因此235 AUTHENTICATION SUCCESSFUL也照樣用base 64編碼還原後就可以得到密碼：558r00lz。

第3題：What is Ann’s secret lover’s email address?
直接觀察所有的封包，就會發現地132個封包中可以找到這個神秘的Email： mistersecretx@aol.com。

第4題：What two items did Ann tell her secret lover to bring?
在第132個封包上點選Follow > TCP Stream，就可以直接看到一段明碼，內容如下：
Hi sweetheart! Bring your fake passport and a bathing suit. Address =
attached. love, Ann
這段文字也就包含了我們要找的答案：A fake passport and a bathing suit。

第5題：What is the NAME of the attachment Ann sent to her secret lover?
這可以接著上一題來看，只要在找到上一題答案的地方再往下幾行就看得到這一題的答案：filename:secretrendezvous.docx

第6題：What is the MD5sum of the attachment Ann sent to her secret lover?
這一題雖然也是要把檔案還原出來，但使用的方法跟之前介紹過的並不同，在這邊是會看到封包中有一段亂碼，要把這段亂碼複製起來，並且用網路上的decode base64 to file等轉檔工具把這串密文進行轉檔。轉檔完成後會得到一個docx的檔案，而這個檔案的MD5sum就是9e423e11db88f01bbff81172839e1923。

這邊補充一下，可能會有人問說你怎麼知道這串東西要用base64來解譯或轉檔，其實如果看多了就會知道，如果在一大串亂碼中，發現這串亂碼包含A-Z、a-z、0-9、+、/，而且最後幾個字元還是=，那就有極大可能是經過base64編譯後的結果。為什麼，因為base64所編譯後的結果就是包含A-Z、a-z、0-9、+、/，而且如果要編碼的位元組數不能被3整除，最後會多出1個或2個位元組，字串的最後就會加上一個或兩個'='號，代表補足的位元組數，所以如果看到是這樣組合的字串，不論長短，都可以拿base64來解譯看看！但解譯後得到的結果會是什麼類型檔案就必須再用另外的方式來判斷了，這一題是因為從封包內容就可以看出檔案名稱，所以也就知道他是一個docx檔案。

第7題：In what CITY and COUNTRY is their rendez-vous point?
打開剛剛轉出來的文件，可以在裡面看到一張圖片顯示一個地圖，而地圖上標示的地點就是這題答案，也就是Playa del Carmen, Mexico。

第8題：What is the MD5sum of the image embedded in the document?
這一題很簡單，就把這張圖片另存新檔後，就可以得到檔案的MD5sum值囉：aadeace50997b1ba24b09ac2ef1940b7。