Pcap Inspection
RootedCON to najważniejsze wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.
Informacja o PCAP vs PCAPNG: istnieją dwie wersje formatu pliku PCAP; PCAPNG jest nowszy i nie jest obsługiwany przez wszystkie narzędzia. Może być konieczne przekonwertowanie pliku z PCAPNG na PCAP za pomocą Wiresharka lub innego kompatybilnego narzędzia, aby móc pracować z nim w innych narzędziach.
Narzędzia online do plików pcap
Jeśli nagłówek twojego pcap jest uszkodzony, spróbuj go naprawić za pomocą: http://f00l.de/hacking/pcapfix.php
Wyodrębnij informacje i szukaj złośliwego oprogramowania w pcap za pomocą PacketTotal
Szukaj działalności złośliwej za pomocą www.virustotal.com i www.hybrid-analysis.com
Wyodrębnianie informacji
Następujące narzędzia są przydatne do wyodrębniania statystyk, plików, itp.
Wireshark
Jeśli zamierzasz analizować PCAP, musisz w zasadzie umieć korzystać z Wiresharka
Możesz znaleźć kilka sztuczek Wiresharka w:
pageWireshark tricksXplico Framework
Xplico (tylko linux) może analizować pcap i wyodrębniać z niego informacje. Na przykład z pliku pcap Xplico wyodrębnia każdy e-mail (protokoły POP, IMAP i SMTP), wszystkie treści HTTP, każde połączenie VoIP (SIP), FTP, TFTP, itp.
Instalacja
Uruchom
Dostęp do 127.0.0.1:9876 za pomocą poświadczeń xplico:xplico
Następnie utwórz nowe zdarzenie, utwórz nową sesję wewnątrz zdarzenia i załaduj plik pcap.
NetworkMiner
Podobnie jak Xplico, jest to narzędzie do analizy i wyodrębniania obiektów z plików pcap. Posiada darmową wersję, którą można pobrać tutaj. Działa z systemem Windows. To narzędzie jest również przydatne do analizy innych informacji z pakietów, aby móc szybciej zrozumieć, co działo się w sposób bardziej efektywny.
NetWitness Investigator
Możesz pobrać NetWitness Investigator stąd (Działa w systemie Windows). To kolejne przydatne narzędzie, które analizuje pakiety i sortuje informacje w użyteczny sposób, aby zrozumieć, co się dzieje wewnątrz.
Wyodrębnianie i kodowanie nazw użytkowników i haseł (HTTP, FTP, Telnet, IMAP, SMTP...)
Wyodrębnianie skrótów uwierzytelniania i ich łamanie za pomocą Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Budowanie wizualnego diagramu sieci (węzły sieci i użytkownicy)
Wyodrębnianie zapytań DNS
Odtwarzanie wszystkich sesji TCP & UDP
Wycinanie plików
Capinfos
Ngrep
Jeśli szukasz czegoś wewnątrz pliku pcap, możesz użyć ngrep. Oto przykład użycia głównych filtrów:
Wycinanie
Korzystanie z powszechnych technik wycinania może być przydatne do wyodrębniania plików i informacji z pliku pcap:
pageFile/Data Carving & Recovery ToolsPrzechwytywanie poświadczeń
Możesz użyć narzędzi takich jak https://github.com/lgandx/PCredz do analizy poświadczeń z pliku pcap lub interfejsu na żywo.
RootedCON to najbardziej istotne wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.
Sprawdź Exploity/Malware
Suricata
Instalacja i konfiguracja
Sprawdź plik pcap
YaraPcap
YaraPCAP to narzędzie, które
Odczytuje plik PCAP i wyodrębnia strumienie HTTP.
Kompresuje strumienie, które są skompresowane za pomocą gzip.
Skanuje każdy plik za pomocą yara.
Tworzy plik raportu report.txt.
Opcjonalnie zapisuje pasujące pliki do katalogu.
Analiza złośliwego oprogramowania
Sprawdź, czy możesz znaleźć jakikolwiek odcisk palca znanego złośliwego oprogramowania:
pageMalware AnalysisZeek
Zeek to pasywny, otwartoźródłowy analizator ruchu sieciowego. Wielu operatorów używa Zeeka jako Monitora Bezpieczeństwa Sieciowego (NSM) do wsparcia dochodzeń w przypadku podejrzanej lub złośliwej aktywności. Zeek obsługuje również szeroki zakres zadań analizy ruchu poza dziedziną bezpieczeństwa, w tym pomiar wydajności i rozwiązywanie problemów.
W skrócie, dzienniki tworzone przez zeek
nie są pcapami. Dlatego będziesz musiał użyć innych narzędzi do analizy dzienników, gdzie znajdują się informacje o pcapach.
Informacje DNS
Inne sztuczki analizy pcap
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON to najważniejsze wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.
Last updated