Dshell – 网络取证分析框架

华盟学院山东省第二期线下学习计划

Dshell - 网络取证分析框架

Dshell是一个可扩展的网络取证分析框架。

它支持快速开发插件,以支持解析网络数据包捕获。

主要特征:

强大的流重组

IPv4和IPv6支持

自定义输出处理程序

可链式解码器

要求:

Linux(在Ubuntu 12.04上开发)

Python 2.7

pygeoip

MaxMind GeoIP旧数据集

PyCrypto

dpkt

IPY

pypcap

elasticsearch-PY

用法:

列出所有可用的解码器以及有关它们的基本信息

解码-l

显示大多数解码器可用的通用命令行标志

解码-h

显示有关解码器的信息,包括可用的命令行标志

decode -d <decoder>

在pcap文件上运行选定的解码器

解码-d <decoder> <pcap>

安装

安装上面列出的所有必要的Python模块。其中许多都可以通过pip和/或apt-get获得。Pygeoip尚未作为软件包提供,必须使用pip或手动安装。

sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap
sudo pip安装pygeoip通过将MaxMind数据文件(GeoIP.dat,GeoIPv6.dat,GeoIPASNum.dat,GeoIPASNumv6.dat)移动到<install-location> / share / GeoIP /来配置pygeoip

运行make。这将构建Dshell。

运行./dshell。这是Dshell。如果你得到一个Dshell>提示符,你很高兴!

www.idc126.com

下载地址:https://github.com/USArmyResearchLab/Dshell

本文由 华盟网 作者:karl456789 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
1

发表评论