Pcap Inspection
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会的 使命是促进技术知识,是各个学科技术和网络安全专业人士的热烈交流平台。
关于 PCAP 与 PCAPNG 的说明:PCAP 文件格式有两个版本;PCAPNG 是较新的,并不是所有工具都支持。您可能需要使用 Wireshark 或其他兼容工具将文件从 PCAPNG 转换为 PCAP,以便在某些其他工具中使用。
在线工具用于 pcap
如果您的 pcap 头部 损坏,您应该尝试使用:http://f00l.de/hacking/pcapfix.php 修复 它
在 PacketTotal 中提取 信息 并搜索 恶意软件
使用 www.virustotal.com 和 www.hybrid-analysis.com 搜索 恶意活动
在 https://apackets.com/ 中进行 完整的 pcap 分析
提取信息
以下工具用于提取统计信息、文件等。
Wireshark
如果您要分析 PCAP,您基本上必须知道如何使用 Wireshark
您可以在以下位置找到一些 Wireshark 技巧:
Wireshark tricks浏览器中的 pcap 分析。
Xplico Framework
Xplico (仅限 Linux) 可以 分析 一个 pcap 并从中提取信息。例如,从一个 pcap 文件中,Xplico 提取每封电子邮件(POP、IMAP 和 SMTP 协议)、所有 HTTP 内容、每个 VoIP 通话(SIP)、FTP、TFTP 等。
安装
运行
访问 127.0.0.1:9876,凭证为 xplico:xplico
然后创建一个 新案例,在案例中创建一个 新会话 并 上传 pcap 文件。
NetworkMiner
像 Xplico 一样,它是一个 分析和提取 pcaps 中对象 的工具。它有一个免费版,你可以 在这里下载 这里。它适用于 Windows。 这个工具也有助于从数据包中获取 其他信息分析,以便能够更 快速 地了解发生了什么。
NetWitness Investigator
你可以 从这里下载 NetWitness Investigator (适用于 Windows)。 这是另一个有用的工具,分析数据包 并以有用的方式整理信息,以 了解内部发生的事情。
提取和编码用户名和密码 (HTTP, FTP, Telnet, IMAP, SMTP...)
提取身份验证哈希并使用 Hashcat 破解它们 (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
构建可视化网络图 (网络节点和用户)
提取 DNS 查询
重建所有 TCP 和 UDP 会话
文件雕刻
Capinfos
Ngrep
如果您在 pcap 中寻找****某些东西,可以使用 ngrep。以下是使用主要过滤器的示例:
Carving
使用常见的雕刻技术可以从pcap中提取文件和信息:
File/Data Carving & Recovery ToolsCapturing credentials
您可以使用像 https://github.com/lgandx/PCredz 这样的工具从pcap或实时接口中解析凭据。
RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会 旨在促进技术知识,是各个学科技术和网络安全专业人士的热烈交流平台。
Check Exploits/Malware
Suricata
安装和设置
检查 pcap
YaraPcap
YaraPCAP 是一个工具
读取 PCAP 文件并提取 Http 流。
gzip 解压任何压缩流
使用 yara 扫描每个文件
写入 report.txt
可选地将匹配的文件保存到目录
恶意软件分析
检查您是否可以找到已知恶意软件的任何指纹:
Malware AnalysisZeek
Zeek 是一个被动的开源网络流量分析器。许多操作员使用 Zeek 作为网络安全监控器 (NSM) 来支持对可疑或恶意活动的调查。Zeek 还支持广泛的流量分析任务,超出安全领域,包括性能测量和故障排除。
基本上,由 zeek
创建的日志不是 pcaps。因此,您需要使用 其他工具 来分析包含 pcaps 信息 的日志。
连接信息
DNS 信息
其他 pcap 分析技巧
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的活动之一。该大会 旨在促进技术知识,是各个学科技术和网络安全专业人士的热烈交流平台。
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE) 学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
Last updated