Tcpxtract: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Mmogom (talk | contribs)
No edit summary
Mmogom (talk | contribs)
No edit summary
 
(7 intermediate revisions by the same user not shown)
Line 1: Line 1:
==Sissejuhatus==
==Sissejuhatus==


tcpxtract on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevaid tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost, driftnet ja etherPEG, kuid erinevalt neist on tcpxtract paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada.  
'''tcpxtract''' on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevat tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost [http://foremost.sourceforge.net/], driftnet [http://linux.die.net/man/1/driftnet] ja etherPEG [http://etherpeg.org/], kuid erinevalt neist on '''tcpxtract''' paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada. Programmi autor on Nick Harbour.


==tcpxtract kasutamine==
==Paigaldamine==


'''tcpxtract''' on saadaval kõigis enamlevinud distributsioonides ja sõltub järgmistest pakkidest: libc6, libpcap0.8.
Debiani ja Ubuntu all käib paigaldus järgmiselt:
<pre>
apt-get install libpcap0.8 tcpxtract
</pre>
==Kasutamine==
Süntaks
<pre>
<pre>
tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]]
tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]]
</pre>
</pre>


Valid options include:
Võimalikud võtmed:


<pre>
<pre>
--file, -f <FILE>
--file, -f <FILE>
</pre>
</pre>
to specify an input capture file instead of a device
valib sisendiks näidatud faili võrguseadme asemel
<pre>
<pre>
--device, -d <DEVICE>
--device, -d <DEVICE>
</pre>
</pre>
to specify an input device (i.e. eth0)
määrab jälgitava võrguseadme
<pre>
<pre>
--config, -c <FILE>
--config, -c <FILE>
</pre>
</pre>
use FILE as the config file
kasutab näidatud faili konfiguratsioonifailina
<pre>
<pre>
--output, -o <DIRECTORY>
--output, -o <DIRECTORY>
</pre>
</pre>
dump files to DIRECTORY instead of current directory
kirjutab failid näidatud kausta käesoleva kausta asemel
<pre>
<pre>
--version, -v
--version, -v
</pre>
</pre>
display the version number of this program
näitab versiooninumbrit
<pre>
<pre>
--help, -h
--help, -h
</pre>
</pre>
display this lovely screen
näitab abiinfot
 
===Näited===
 
HTML faili püüdmine võrgukaardilt eth0 kataloogi /home/user/tcpdump
<pre>
tcpxtract -d eth0 -o /home/user/tcpdump &
</pre>
 
<pre>
links live.hot.ee
</pre>
 
Tulemuseks on fail 00000000.html, mis antud juhul sisaldab http://live.hot.ee lehekülge.
 
==Võimalikud kasutusvaldkonnad==
 
'''tcpextract''' ja analoogid on põhiliselt kasutusel võrguliikluse uurimiseks, et tuvastada sealt kasutajate poolt liigutatavaid faile - ebasoovitavaid pilte, videosid või firmasaladusi sisaldavaid faile.


==Kasutatud materjalid==
==Kasutatud materjalid==
Line 57: Line 84:




[[Category:Operatsioonisüsteemide administreerimine]]
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Latest revision as of 20:29, 13 January 2013

Sissejuhatus

tcpxtract on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevat tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost [1], driftnet [2] ja etherPEG [3], kuid erinevalt neist on tcpxtract paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada. Programmi autor on Nick Harbour.

Paigaldamine

tcpxtract on saadaval kõigis enamlevinud distributsioonides ja sõltub järgmistest pakkidest: libc6, libpcap0.8. Debiani ja Ubuntu all käib paigaldus järgmiselt:

apt-get install libpcap0.8 tcpxtract

Kasutamine

Süntaks

tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]]

Võimalikud võtmed:

--file, -f <FILE>

valib sisendiks näidatud faili võrguseadme asemel

--device, -d <DEVICE>

määrab jälgitava võrguseadme

--config, -c <FILE>

kasutab näidatud faili konfiguratsioonifailina

--output, -o <DIRECTORY>

kirjutab failid näidatud kausta käesoleva kausta asemel

--version, -v

näitab versiooninumbrit

--help, -h

näitab abiinfot

Näited

HTML faili püüdmine võrgukaardilt eth0 kataloogi /home/user/tcpdump

tcpxtract -d eth0 -o /home/user/tcpdump &
links live.hot.ee

Tulemuseks on fail 00000000.html, mis antud juhul sisaldab http://live.hot.ee lehekülge.

Võimalikud kasutusvaldkonnad

tcpextract ja analoogid on põhiliselt kasutusel võrguliikluse uurimiseks, et tuvastada sealt kasutajate poolt liigutatavaid faile - ebasoovitavaid pilte, videosid või firmasaladusi sisaldavaid faile.

Kasutatud materjalid

http://tcpxtract.sourceforge.net/

http://taosecurity.blogspot.com/2006/01/network-forensic-traffic.html

http://computer.forensikblog.de/en/2005/10/tcpxtract-version-10.html

http://linux.die.net/man/1/tcpxtract

http://packages.debian.org/squeeze/tcpxtract

http://packages.ubuntu.com/hardy/tcpxtract

http://rpmfind.net/linux/rpm2html/search.php?query=tcpxtract

Autor

Mark-Erik Mogom AK21