从内存中提取Pcap包

admin
admin
admin
0
文章
0
评论
2022-06-24 00:23:30 AnQuanKeINFO 来源:ZONE.CI 全球网 0 阅读模式

我已经说过很多遍内存取证的好处了,然而今天,我要和大家讲讲怎么用bulk extractor取证工具从一个内存镜像里面提取PCAP文件。

当然,在我们才开始从内存镜像中提取PCAP文件时,我们什么都得不到。但是,提取出来的信息可以帮助我们进行下一步的研究。

我先来说说bulk extractor吧。bulk extractor是一个非常流行的电脑取证工具。它可以从文件,磁盘镜像,系统路径中提取有用的信息,而且不需要分析文件系统的支持。而且结果可以很容易地检查,解析或者和转移到其他工具上进行使用。这个工具可以生成很直观的图象来表达取证结果,所以这个工具被广泛的使用在了国防,情报,网络调查取证等等方面。

你可以在下面这个网站获得bulk extractor的安装文件

http://digitalcorpora.org/downloads/bulk_extractor/

下面开始讲解吧。首先,我得在Linux上运行Netcat。

nc -l –p 80

然后,我让我的windows系统对Netcat进行一个telnet会话,端口是80端口。

telnet 192.168.8.101 80

随后,我使用Dumpit抓取了windows操作系统的内存值。

自从我对从内存值抓取PCAP文件感兴趣的时候,我用–x all命令禁用了所有的扫描器,只启用–e net这个命令。

bulk_extractor -x all -e net -o Win8bulk/ Win8-64bit.raw

-o 这个是指定输出的目录

现在,让我们来检查一下Win8bul的目录。

ls Win8bulk/
s.txt           ether.txt         ip.txt        report.xml
ether_histogram.txt  ip_histogram.txt  packets.pcap

让我来解释一下上面列举出来的文件是什么。

ether.txt- 这里面有以太网的MAC地址,是通过破碎的IP数据包和一些系统文件进行挖掘找到的
ip.txt- 这个里面存放着IP地址
ether_histogram.txt- 这个会显示以太网卡MAC地址的柱状图
ip_histogram.txt- 这个会显示IP地址的柱状图
packets.pcap-这个是从不完整数据包中得到的一个PCAP文件

现在,让我们来检查一下这个PCAP文件是否包含了我刚才测试的会话。

tcpdump -nn -r Win8bulk/packets.pcap 'ip host 192.168.8.101 and tcp

下面是显示出来的信息

00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [.], ack 422809692, win 64, length 0
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 0:1, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 1:2, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 2:3, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 3:4, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 4:5, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 5:6, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 6:7, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 7:8, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [S], seq 2574360603, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

好吧,正如我们看到,这个PCAP文件至少丢失了三个握手包。。。。。。

但是,让我们看看从Wireshark我们可以得到什么数据包。

http://p4.qhimg.com/t01f196faab197ad0bf.jpg

现在我们看看这个follow tcp stream能够让我们得到什么。

t0165bed9b8d6c41657.jpg

没错~这个就是我在测试中输入的字符,已经显示出来了。

来源:

https://isc.sans.edu/diary/Extracting+pcap+from+memory+/20639

http://www.forensicswiki.org/wiki/Bulk_extractor

https://isc.sans.edu/forums/diary/Acquiring+Memory+Images+with+Dumpit/17216/

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
记一奇葩弱口令到内网实战 AnQuanKeINFO

记一奇葩弱口令到内网实战

一、前期打点拿到目标后首先要做的就是信息收集,这次给的目标就给个单位名称,通过互联网上搜索发现其网站在阿里云上着实无奈,在这里推荐个寻找资产的方法,利用ICP/IP地址/域名信息备
07-120 评论
MITRE漏洞公告意外展示易受攻击资产 AnQuanKeINFO

MITRE漏洞公告意外展示易受攻击资产

第317期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容
07-120 评论
浅识k8s中的准入控制器 AnQuanKeINFO

浅识k8s中的准入控制器

背景在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到”NodeRestriction准入插件”,实际上它是一个”准入控制器”。“准入控制器”是一个重要的概
07-120 评论
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0