17、《跨平台大型多人在线游戏与大数据文件系统的取证调查》

《跨平台大型多人在线游戏与大数据文件系统的取证调查》

跨平台大型多人在线游戏的取证调查

在跨平台大型多人在线游戏的取证调查中，以Minecraft游戏为例，我们可以看到其中存在诸多可用于调查的线索。

当Minecraft游戏开始时，服务器操作员登录并启动软件，等待客户端连接。客户端可以选择连接推荐的微软服务器，或者手动输入IP地址连接私人服务器（仅桌面Java版）。成功连接后，客户端会收到“每日消息”的欢迎信息，用户角色会立即出现在广阔的游戏场景中。
- 网络通信分析
- 数据交互 ：Windows客户端成功连接后，会立即将其Minecraft用户名传递给服务器，服务器则返回UUID。随后，会有大量数据包在Windows客户端和Linux服务器之间快速来回传输，这些数据包包含看似经过编码的数据。在大约5分钟的活动期间，观察到Linux服务器和Windows客户端之间有大量流量，平均数据流量为21KB/s。
- 端口使用 ：通过Wireshark的Statistics > Endpoints功能可以确定连接机器的开放端口。Linux机器（192.168.0.29）通过端口25565（在server.properties文件中设置）进行通信，而Windows机器（192.168.0.82）的端口号会逐步变化，但大部分通信在端口49804进行，且该端口号在运行软件前并未预先确定。
- 通信内容 ：Windows客户端使用聊天功能生成的对话内容通过TCP以明文形式发送，服务器操作员的“每日消息”同样以明文形式发送