Pcap Inspection
RootedCON 是西班牙最重要的网络安全活动之一,也是欧洲最重要的活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会。
关于 PCAP 和 PCAPNG 的说明:PCAP 文件格式有两个版本;PCAPNG 是较新的版本,不是所有工具都支持。您可能需要使用 Wireshark 或其他兼容工具将文件从 PCAPNG 转换为 PCAP,以便在其他工具中使用。
用于 pcap 的在线工具
如果您的 pcap 文件头部损坏,您应该尝试使用以下工具修复:http://f00l.de/hacking/pcapfix.php
在 PacketTotal 中提取 pcap 中的信息并搜索恶意软件
使用 www.virustotal.com 和 www.hybrid-analysis.com 搜索恶意活动
提取信息
以下工具可用于提取统计数据、文件等。
Wireshark
如果您要分析 PCAP,基本上必须了解如何使用 Wireshark
您可以在以下位置找到一些 Wireshark 技巧:
pageWireshark tricksXplico 框架
Xplico (仅适用于 Linux) 可以分析 pcap 并从中提取信息。例如,Xplico 可从 pcap 文件中提取每封电子邮件(POP、IMAP 和 SMTP 协议)、所有 HTTP 内容、每个 VoIP 通话(SIP)、FTP、TFTP 等。
安装
运行
访问 127.0.0.1:9876,使用凭据 xplico:xplico
然后创建一个新案例,在案例内创建一个新会话,并上传pcap文件。
NetworkMiner
与Xplico一样,这是一个用于分析和提取pcap文件中对象的工具。它有一个免费版本,您可以在这里下载。它适用于Windows。 这个工具还可以用来从数据包中获取其他信息的分析,以便更快地了解发生了什么。
NetWitness Investigator
您可以从这里下载NetWitness Investigator (它适用于Windows)。 这是另一个有用的工具,可以分析数据包并以有用的方式对信息进行分类,以便了解内部发生的情况。
提取和编码用户名和密码(HTTP、FTP、Telnet、IMAP、SMTP...)
提取认证哈希并使用Hashcat破解它们(Kerberos、NTLM、CRAM-MD5、HTTP-Digest...)
构建可视化网络图(网络节点和用户)
提取DNS查询
重建所有TCP和UDP会话
文件切割
Capinfos
Ngrep
如果你想在 pcap 文件中查找某些内容,可以使用 ngrep。以下是使用主要过滤器的示例:
数据恢复
使用常见的数据恢复技术可以从 pcap 中提取文件和信息:
pageFile/Data Carving & Recovery Tools捕获凭据
您可以使用类似 https://github.com/lgandx/PCredz 的工具来解析 pcap 或实时接口中的凭据。
RootedCON 是西班牙最重要的网络安全活动之一,也是欧洲最重要的活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流平台。
检查漏洞/恶意软件
Suricata
安装和设置
检查 pcap
YaraPcap
YaraPCAP 是一个工具,可以:
读取 PCAP 文件并提取 Http 流。
对任何压缩流进行 gzip 解压缩。
使用 yara 扫描每个文件。
写入 report.txt。
可选择将匹配的文件保存到一个目录中。
恶意软件分析
检查是否能找到任何已知恶意软件的指纹:
pageMalware AnalysisZeek
Zeek 是一个被动的、开源的网络流量分析器。许多运营商将 Zeek 用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek 还支持广泛的流量分析任务,超出了安全领域,包括性能测量和故障排除。
基本上,由 zeek
创建的日志不是 pcaps。因此,您将需要使用 其他工具 来分析包含有关 pcaps 的信息的日志。
连接信息
DNS 信息
其他pcap分析技巧
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON 是西班牙最重要的网络安全活动之一,也是欧洲最重要的之一。以促进技术知识为使命,这个大会是技术和网络安全专业人士在各个领域的热点会议。
最后更新于