返璞归真——流量中提取文件的五种方法

信息安全 132 Views

0x00 简介

本期主要会教大家如何从流量中还原出来文件。下面我将会用5种办法来讲解。

0x01 网络流量提取文件(方法1)

1.安装依赖

yum install -y libpcap libpcap-devel

1) 从http: //www .rpmfind.net /linux/rpm2html/search .php?query=tcpxtract

找到对应的版本。

2) 我是centos 6.5我下载的文件是tcpxtract-1.0.1-1.el6.rf.x86_64.rpm

3) rpm -ivh tcpxtract-1.0.1-1.el6.rf.x86_64.rpm

2.安装tcpxtract

3.下载pcap流量包

wget http://forensicscontest.com/contest01/evidence01.pcap

tcpxtract -f evidence01.pcap

4.查看要恢复文件

5.查看恢复文件

6.打开文件

0x02 网络流量提取文件(方法2)

1.下载pcap文件

wget http://barracudalabs.com/downloads/5f810408ddbbd6d349b4be4766f41a37.pcap

–no-check-certificate

从http: //sourceforge .net /projects/networkminer/files/latest/download 下载

2.安装NetworkMiner

3.打开PCAP文件

4.查看提取出来的文件

5.virustotal查看恶意文件

0x03 网络流量提取文件(方法3)

1.wireshark还原文件

2.查看还原文件

3.还原文件

0x04 网络流量提取文件(方法4)

1.下载foremost并安装

wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

make

make install

foremost -v -i 5f810408ddbbd6d349b4be4766f41a37.pcap

2.还原文件

0x05 网络流量提取文件(方法5)

1.下载chaosreader

wget https://github.com/brendangregg/Chaosreader/archive/master.zip

2.还原文件

3.查看还原的exe文件

0x06 参考文档

http://www.behindthefirewalls.com/2014/01/extracting-files-from-network-traffic-pcap.html

Four ways to extract files from pcaps

【via@阿里巴巴安全部 鸟哥】

(点击“阅读原文”可以进行评论或浏览更多文章喔,还可直接回复订阅号,告诉妹子你的看法()~*

如未说明则本站原创,转载请注明出处:NULL » 返璞归真——流量中提取文件的五种方法