返璞归真——流量中提取文件的五种方法

0x00  简介

本期主要会教大家如何从流量中还原出来文件。下面我将会用5种办法来讲解。

0x01  网络流量提取文件(方法1)

1.  安装依赖

1	yum install -y libpcap libpcap-devel

2.  安装tcpxtract

1 2 3 4

1)  从http://www.rpmfind.net/linux/rpm2html/search.php?query=tcpxtract 找到对应的版本。 2)  我是centos 6.5我下载的文件是tcpxtract-1.0.1-1.el6.rf.x86_64.rpm 3) rpm -ivh tcpxtract-1.0.1-1.el6.rf.x86_64.rpm

3.  下载pcap流量包

1	wget http://forensicscontest.com/contest01/evidence01.pcap

4.  查看要恢复文件

1	tcpxtract -f evidence01.pcap

5.  查看恢复文件

6.  打开文件

0x02  网络流量提取文件(方法2)

1.  下载pcap文件

1 2	wget http://barracudalabs.com/downloa ... b4be4766f41a37.pcap --no-check-certificate

2.  安装NetworkMiner

1	从http://sourceforge.net/projects/ ... les/latest/download下载

3.  打开PCAP文件

4.  查看提取出来的文件

5.  virustotal查看恶意文件

0x03  网络流量提取文件(方法3)

1.  wireshark还原文件

2.  查看还原文件

3.  还原文件

0x04  网络流量提取文件(方法4)

1.  下载foremost并安装

1 2 3

wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz make make install

2.  还原文件

1	foremost -v -i 5f810408ddbbd6d349b4be4766f41a37.pcap

0x05  网络流量提取文件(方法5)

1.  下载chaosreader

1	wget https://github.com/brendangregg/Chaosreader/archive/master.zip

2.  还原文件

3.  查看还原的exe文件

0x06  参考文档

http://www.behindthefirewalls.com/2014/01/extracting-files-from-network-traffic-pcap.html

http://www.blackbytes.info/2012/01/four-ways-to-extract-files-from-pcaps/