返璞歸真——流量中選取檔案的五種方法

來自：阿裡巴巴安全部鳥哥 @cnbird2008

0x00簡介

本期主要會教大家如何從流量中還原出來檔案。下麵我將會用5種辦法來講解。

0x01網路流量選取檔案（方法1）

1.安裝依賴

yum install -y libpcaplibpcap-devel

2.安裝tcpxtract

3.下載pcap流量包

wgethttp://forensicscontest.com/contest01/evidence01.pcap

4.查看要恢復檔案

tcpxtract -fevidence01.pcap

 

5.查看恢復檔案

6.打開文件

0x02網路流量選取檔案（方法2）

1.     下載pcap檔案

wgethttp://barracudalabs.com/downloads/5f810408ddbbd6d349b4be4766f41a37.pcap 

 --no-check-certificate

2.     安裝NetworkMiner

從http://sourceforge.net/projects/networkminer/files/latest/download

下載

3.     打開PCAP檔案

4.     查看選取出來的檔案

5.     virustotal查看惡意檔案

0x03網路流量選取檔案（方法3）

1.     wireshark還原檔案

2.     查看還原檔案

3.     還原檔案

0x04網路流量選取檔案（方法4）

1.     下載foremost並安裝

2.     還原檔案

foremost -v -i5f810408ddbbd6d349b4be4766f41a37.pcap

0x05網路流量選取檔案（方法5）

1.     下載chaosreader

wgethttps://github.com/brendangregg/Chaosreader/archive/master.zip

2.     還原檔案

3.     查看還原的exe檔案

0x06參攷檔案

http://www.behindthefirewalls.com/2014/01/extracting-files-from-network-traffic-pcap.html

http://www.blackbytes.info/2012/01/four-ways-to-extract-files-from-pcaps/