Pcap Inspection
RootedCON to najważniejsze wydarzenie związane z cyberbezpieczeństwem w Hiszpanii i jedno z najważniejszych w Europie. Z misją promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów z technologii i cyberbezpieczeństwa w każdej dziedzinie.
Uwaga na temat PCAP vs PCAPNG: istnieją dwie wersje formatu pliku PCAP; PCAPNG jest nowszy i nie jest obsługiwany przez wszystkie narzędzia. Może być konieczne przekształcenie pliku z PCAPNG na PCAP za pomocą Wireshark lub innego kompatybilnego narzędzia, aby móc z nim pracować w niektórych innych narzędziach.
Narzędzia online do pcapów
Jeśli nagłówek twojego pcap jest uszkodzony, powinieneś spróbować go naprawić używając: http://f00l.de/hacking/pcapfix.php
Wyciągnij informacje i szukaj złośliwego oprogramowania w pcap w PacketTotal
Szukaj złośliwej aktywności używając www.virustotal.com i www.hybrid-analysis.com
Pełna analiza pcap z przeglądarki w https://apackets.com/
Wyciąganie informacji
Następujące narzędzia są przydatne do wyciągania statystyk, plików itp.
Wireshark
Jeśli zamierzasz analizować PCAP, musisz znać podstawy korzystania z Wireshark
Możesz znaleźć kilka trików Wireshark w:
Wireshark tricksAnaliza pcap z przeglądarki.
Xplico Framework
Xplico (tylko linux) może analizować pcap i wyciągać z niego informacje. Na przykład, z pliku pcap Xplico wyciąga każdą wiadomość e-mail (protokół POP, IMAP i SMTP), wszystkie treści HTTP, każde połączenie VoIP (SIP), FTP, TFTP itd.
Zainstaluj
Uruchom
Dostęp do 127.0.0.1:9876 z danymi uwierzytelniającymi xplico:xplico
Następnie utwórz nową sprawę, utwórz nową sesję w ramach sprawy i prześlij plik pcap.
NetworkMiner
Podobnie jak Xplico, jest to narzędzie do analizowania i wyodrębniania obiektów z pcapów. Ma darmową edycję, którą możesz pobrać tutaj. Działa na Windows. To narzędzie jest również przydatne do uzyskiwania innych analizowanych informacji z pakietów, aby móc szybciej zrozumieć, co się działo.
NetWitness Investigator
Możesz pobrać NetWitness Investigator stąd (Działa w Windows). To kolejne przydatne narzędzie, które analizuje pakiety i sortuje informacje w użyteczny sposób, aby wiedzieć, co się dzieje wewnątrz.
Wyodrębnianie i kodowanie nazw użytkowników i haseł (HTTP, FTP, Telnet, IMAP, SMTP...)
Wyodrębnij hashe uwierzytelniające i złam je za pomocą Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Zbuduj wizualny diagram sieci (Węzły i użytkownicy sieci)
Wyodrębnij zapytania DNS
Odtwórz wszystkie sesje TCP i UDP
File Carving
Capinfos
Ngrep
Jeśli szukasz czegoś w pcap, możesz użyć ngrep. Oto przykład użycia głównych filtrów:
Carving
Użycie powszechnych technik carvingu może być przydatne do wydobywania plików i informacji z pcap:
File/Data Carving & Recovery ToolsCapturing credentials
Możesz użyć narzędzi takich jak https://github.com/lgandx/PCredz do analizy poświadczeń z pcap lub z aktywnego interfejsu.
RootedCON to najważniejsze wydarzenie związane z cyberbezpieczeństwem w Hiszpanii i jedno z najważniejszych w Europie. Z misją promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów z dziedziny technologii i cyberbezpieczeństwa w każdej dyscyplinie.
Check Exploits/Malware
Suricata
Zainstaluj i skonfiguruj
Sprawdź pcap
YaraPcap
YaraPCAP to narzędzie, które
Odczytuje plik PCAP i wyodrębnia strumienie Http.
Rozpakowuje wszelkie skompresowane strumienie gzip.
Skanuje każdy plik za pomocą yara.
Pisze report.txt.
Opcjonalnie zapisuje pasujące pliki do katalogu.
Analiza złośliwego oprogramowania
Sprawdź, czy możesz znaleźć jakiekolwiek odciski palców znanego złośliwego oprogramowania:
Malware AnalysisZeek
Zeek to pasywny, otwartoźródłowy analizator ruchu sieciowego. Wielu operatorów używa Zeeka jako Monitor Bezpieczeństwa Sieci (NSM) do wspierania dochodzeń w sprawie podejrzanej lub złośliwej aktywności. Zeek wspiera również szeroki zakres zadań analizy ruchu poza domeną bezpieczeństwa, w tym pomiar wydajności i rozwiązywanie problemów.
Zasadniczo, logi tworzone przez zeek
nie są pcapami. Dlatego będziesz musiał użyć innych narzędzi, aby analizować logi, w których znajdują się informacje o pcapach.
Informacje o połączeniach
Informacje o DNS
Inne sztuczki analizy pcap
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON to najważniejsze wydarzenie związane z cyberbezpieczeństwem w Hiszpanii i jedno z najważniejszych w Europie. Z misją promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów z dziedziny technologii i cyberbezpieczeństwa w każdej dyscyplinie.
Last updated