从内存中提取Pcap包

阅读量139279

|

发布时间 : 2016-01-25 17:52:28

x
译文声明

本文是翻译文章,文章来源:360安全播报

译文仅供参考,具体内容表达以及含义原文为准。

我已经说过很多遍内存取证的好处了,然而今天,我要和大家讲讲怎么用bulk extractor取证工具从一个内存镜像里面提取PCAP文件。

当然,在我们才开始从内存镜像中提取PCAP文件时,我们什么都得不到。但是,提取出来的信息可以帮助我们进行下一步的研究。

我先来说说bulk extractor吧。bulk extractor是一个非常流行的电脑取证工具。它可以从文件,磁盘镜像,系统路径中提取有用的信息,而且不需要分析文件系统的支持。而且结果可以很容易地检查,解析或者和转移到其他工具上进行使用。这个工具可以生成很直观的图象来表达取证结果,所以这个工具被广泛的使用在了国防,情报,网络调查取证等等方面。

你可以在下面这个网站获得bulk extractor的安装文件

http://digitalcorpora.org/downloads/bulk_extractor/

下面开始讲解吧。首先,我得在Linux上运行Netcat。

nc -l –p 80

然后,我让我的windows系统对Netcat进行一个telnet会话,端口是80端口。

telnet 192.168.8.101 80

随后,我使用Dumpit抓取了windows操作系统的内存值。

自从我对从内存值抓取PCAP文件感兴趣的时候,我用–x all命令禁用了所有的扫描器,只启用–e net这个命令。

bulk_extractor -x all -e net -o Win8bulk/ Win8-64bit.raw

-o 这个是指定输出的目录

现在,让我们来检查一下Win8bul的目录。

ls Win8bulk/
s.txt           ether.txt         ip.txt        report.xml
ether_histogram.txt  ip_histogram.txt  packets.pcap

让我来解释一下上面列举出来的文件是什么。

ether.txt- 这里面有以太网的MAC地址,是通过破碎的IP数据包和一些系统文件进行挖掘找到的
ip.txt- 这个里面存放着IP地址
ether_histogram.txt- 这个会显示以太网卡MAC地址的柱状图
ip_histogram.txt- 这个会显示IP地址的柱状图
packets.pcap-这个是从不完整数据包中得到的一个PCAP文件

现在,让我们来检查一下这个PCAP文件是否包含了我刚才测试的会话。

tcpdump -nn -r Win8bulk/packets.pcap 'ip host 192.168.8.101 and tcp

下面是显示出来的信息

00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [.], ack 422809692, win 64, length 0
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 0:1, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 1:2, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 2:3, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 3:4, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 4:5, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 5:6, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 6:7, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [P.], seq 7:8, ack 1, win 64, length 1
00:00:00.000000 IP 192.168.8.100.49684 > 192.168.8.101.80: Flags [S], seq 2574360603, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

好吧,正如我们看到,这个PCAP文件至少丢失了三个握手包。。。。。。

但是,让我们看看从Wireshark我们可以得到什么数据包。

http://p4.qhimg.com/t01f196faab197ad0bf.jpg

现在我们看看这个follow tcp stream能够让我们得到什么。

t0165bed9b8d6c41657.jpg

没错~这个就是我在测试中输入的字符,已经显示出来了。

来源:

https://isc.sans.edu/diary/Extracting+pcap+from+memory+/20639

http://www.forensicswiki.org/wiki/Bulk_extractor

https://isc.sans.edu/forums/diary/Acquiring+Memory+Images+with+Dumpit/17216/

本文翻译自360安全播报 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
时代之琉璃
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66