Tcpxtract

From ICO wiki
Jump to navigationJump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

Sissejuhatus

tcpxtract on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevat tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost [1], driftnet [2] ja etherPEG [3], kuid erinevalt neist on tcpxtract paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada. Programmi autor on Nick Harbour.

Paigaldamine

tcpxtract on saadaval kõigis enamlevinud distributsioonides ja sõltub järgmistest pakkidest: libc6, libpcap0.8. Debiani ja Ubuntu all käib paigaldus järgmiselt:

apt-get install libpcap0.8 tcpxtract

Kasutamine

Süntaks

tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]]

Võimalikud võtmed:

--file, -f <FILE>

valib sisendiks näidatud faili võrguseadme asemel

--device, -d <DEVICE>

määrab jälgitava võrguseadme

--config, -c <FILE>

kasutab näidatud faili konfiguratsioonifailina

--output, -o <DIRECTORY>

kirjutab failid näidatud kausta käesoleva kausta asemel

--version, -v

näitab versiooninumbrit

--help, -h

näitab abiinfot

Näited

HTML faili püüdmine võrgukaardilt eth0 kataloogi /home/user/tcpdump

tcpxtract -d eth0 -o /home/user/tcpdump &
links live.hot.ee

Tulemuseks on fail 00000000.html, mis antud juhul sisaldab http://live.hot.ee lehekülge.

Võimalikud kasutusvaldkonnad

tcpextract ja analoogid on põhiliselt kasutusel võrguliikluse uurimiseks, et tuvastada sealt kasutajate poolt liigutatavaid faile - ebasoovitavaid pilte, videosid või firmasaladusi sisaldavaid faile.

Kasutatud materjalid

http://tcpxtract.sourceforge.net/

http://taosecurity.blogspot.com/2006/01/network-forensic-traffic.html

http://computer.forensikblog.de/en/2005/10/tcpxtract-version-10.html

http://linux.die.net/man/1/tcpxtract

http://packages.debian.org/squeeze/tcpxtract

http://packages.ubuntu.com/hardy/tcpxtract

http://rpmfind.net/linux/rpm2html/search.php?query=tcpxtract

Autor

Mark-Erik Mogom AK21