Pcap Inspection
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
'n Nota oor PCAP teen PCAPNG: daar is twee weergawes van die PCAP lêerformaat; PCAPNG is nuwer en word nie deur alle gereedskap ondersteun nie. Jy mag dalk 'n lêer van PCAPNG na PCAP moet omskakel met Wireshark of 'n ander kompatible gereedskap, om daarmee in sommige ander gereedskap te werk.
Aanlyn gereedskap vir pcaps
As die kop van jou pcap gebroke is, moet jy probeer om dit te herstel met: http://f00l.de/hacking/pcapfix.php
Trek inligting uit en soek vir kwaadaardige sagteware binne 'n pcap in PacketTotal
Soek vir kwaadaardige aktiwiteit met www.virustotal.com en www.hybrid-analysis.com
Volledige pcap analise vanaf die blaaier in https://apackets.com/
Trek Inligting Uit
Die volgende gereedskap is nuttig om statistieke, lêers, ens. uit te trek.
Wireshark
As jy 'n PCAP gaan analiseer, moet jy basies weet hoe om Wireshark te gebruik
Jy kan 'n paar Wireshark truuks vind in:
Wireshark tricksPcap analise vanaf die blaaier.
Xplico Framework
Xplico (slegs linux) kan analiseer 'n pcap en inligting daaruit onttrek. Byvoorbeeld, uit 'n pcap lêer onttrek Xplico elke e-pos (POP, IMAP, en SMTP protokolle), al HTTP-inhoud, elke VoIP oproep (SIP), FTP, TFTP, ensovoorts.
Installeer
Hardloop
Toegang tot 127.0.0.1:9876 met inligting xplico:xplico
Skep dan 'n nuwe saak, skep 'n nuwe sessie binne die saak en laai die pcap lêer op.
NetworkMiner
Soos Xplico is dit 'n hulpmiddel om pcaps te analiseer en voorwerpe te onttrek. Dit het 'n gratis weergawe wat jy kan aflaai hier. Dit werk met Windows. Hierdie hulpmiddel is ook nuttig om ander inligting te analiseer uit die pakkette om te weet wat gebeur het op 'n sneller manier.
NetWitness Investigator
Jy kan NetWitness Investigator hier aflaai (Dit werk in Windows). Dit is 'n ander nuttige hulpmiddel wat die pakkette analiseer en die inligting op 'n nuttige manier sorteer om te weet wat binne gebeur.
Onttrek en kodeer gebruikersname en wagwoorde (HTTP, FTP, Telnet, IMAP, SMTP...)
Onttrek verifikasie-hashes en kraak dit met Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Bou 'n visuele netwerkdiagram (Netwerk nodes & gebruikers)
Onttrek DNS versoeke
Herbou alle TCP & UDP sessies
Lêer Carving
Capinfos
Ngrep
As jy soek na iets binne die pcap kan jy ngrep gebruik. Hier is 'n voorbeeld wat die hooffilters gebruik:
Carving
Die gebruik van algemene carving tegnieke kan nuttig wees om lêers en inligting uit die pcap te onttrek:
File/Data Carving & Recovery ToolsCapturing credentials
Jy kan gereedskap soos https://github.com/lgandx/PCredz gebruik om akrediteerbare inligting uit 'n pcap of 'n lewendige koppelvlak te ontleed.
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
Check Exploits/Malware
Suricata
Installeer en stel op
Kontroleer pcap
YaraPcap
YaraPCAP is 'n hulpmiddel wat
'n PCAP-lêer lees en Http-strome onttrek.
gzip ontplof enige gecomprimeerde strome
Skandeer elke lêer met yara
Skryf 'n report.txt
Opsioneel stoor ooreenstemmende lêers in 'n gids
Malware Analise
Kyk of jy enige vingerafdruk van 'n bekende malware kan vind:
Malware AnalysisZeek
Zeek is 'n passiewe, oopbron netwerkverkeer analiseerder. Baie operateurs gebruik Zeek as 'n Netwerk Sekuriteits Monitor (NSM) om ondersoeke van verdagte of kwaadwillige aktiwiteite te ondersteun. Zeek ondersteun ook 'n wye reeks verkeersanalise take buite die sekuriteitsdomein, insluitend prestasiemeting en probleemoplossing.
Basies, logs wat deur zeek
geskep word, is nie pcaps nie. Daarom sal jy ander hulpmiddels moet gebruik om die logs te analiseer waar die inligting oor die pcaps is.
Verbinding Inligting
DNS inligting
Ander pcap analise truuks
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON is die mees relevante kuberveiligheid gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n bruisende ontmoetingspunt vir tegnologie en kuberveiligheid professionele in elke dissipline.
Last updated