<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("Freebuf,77169.com") PageTitle=stripHTML("返璞归真——流量中提取文件的五种方法") ArticleIntro=stripHTML("返璞归真——流量中提取文件的五种方法") Articlecontent=stripHTML("0x00  简介本期主要会教大家如何从流量中还原出来文件。下面我将会用5种办法来讲解。0x01  网络流量提取文件(方法1)1.  安装依赖yum instal…") ModuleName = stripHTML("classical") InfoID = stripHTML("118181") ChannelShortName=stripHTML("文章") InstallDir=stripHTML("http://www.77169.org/") ChannelDir=stripHTML("classical") %> 返璞归真——流量中提取文件的五种方法 - 华盟网 - http://www.77169.org
您现在的位置: 华盟网 >> 知识库 >> 安全技术 >> 黑客防线 >> 正文

[组图]返璞归真——流量中提取文件的五种方法

2015/2/16 作者:admin胡哥 来源: FreeBuf
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

t019234405dcd80d964.jpg

0x00  简介

本期主要会教大家如何从流量中还原出来文件。下面我将会用5种办法来讲解。

0x01  网络流量提取文件(方法1)

1.  安装依赖

yum install -y libpcap libpcap-devel

2.  安装tcpxtract

1)  从http://www.rpmfind.net/linux/rpm2html/search.php?query=tcpxtract
找到对应的版本。
2)  我是centos 6.5我下载的文件是tcpxtract-1.0.1-1.el6.rf.x86_64.rpm
3) rpm -ivh tcpxtract-1.0.1-1.el6.rf.x86_64.rpm

返璞归真——流量中提取文件的五种方法

3.  下载pcap流量包

wget http://forensicscontest.com/contest01/evidence01.pcap

4.  查看要恢复文件

tcpxtract -f evidence01.pcap

返璞归真——流量中提取文件的五种方法

5.  查看恢复文件

返璞归真——流量中提取文件的五种方法

6.  打开文件

返璞归真——流量中提取文件的五种方法

0x02  网络流量提取文件(方法2)

1.  下载pcap文件

wget http://barracudalabs.com/downloads/5f810408ddbbd6d349b4be4766f41a37.pcap 
--no-check-certificate

2.  安装NetworkMiner

 从http://sourceforge.net/projects/networkminer/files/latest/download下载

3.  打开PCAP文件

返璞归真——流量中提取文件的五种方法

4.  查看提取出来的文件

返璞归真——流量中提取文件的五种方法

5.  virustotal查看恶意文件

返璞归真——流量中提取文件的五种方法

0x03  网络流量提取文件(方法3)

1.  wireshark还原文件

返璞归真——流量中提取文件的五种方法

2.  查看还原文件

返璞归真——流量中提取文件的五种方法

3.  还原文件

返璞归真——流量中提取文件的五种方法

0x04  网络流量提取文件(方法4)

1.  下载foremost并安装

wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
make
make install

2.  还原文件

foremost -v -i 5f810408ddbbd6d349b4be4766f41a37.pcap

返璞归真——流量中提取文件的五种方法

0x05  网络流量提取文件(方法5)

1.  下载chaosreader

wget https://github.com/brendangregg/Chaosreader/archive/master.zip

2.  还原文件

返璞归真——流量中提取文件的五种方法

3.  查看还原的exe文件

返璞归真——流量中提取文件的五种方法

0x06  参考文档

http://www.behindthefirewalls.com/2014/01/extracting-files-from-network-traffic-pcap.html

http://www.blackbytes.info/2012/01/four-ways-to-extract-files-from-pcaps/