从流量包还原文件的五种方法

0x00 简介

本期主要会教大家如何从流量中还原出来文件。下面我将会用5种办法来讲解。

0x01 网络流量提取文件(方法1)

1.安装依赖

yum install -y libpcap libpcap-devel

2.安装tcpxtract

1)  从http://www.rpmfind.net/linux/rpm2html/search.php?query=tcpxtract
找到对应的版本。
2)  我是centos 6.5我下载的文件是tcpxtract-1.0.1-1.el6.rf.x86_64.rpm
3) rpm -ivh tcpxtract-1.0.1-1.el6.rf.x86_64.rpm

title

3.下载pcap流量包

wget http://forensicscontest.com/contest01/evidence01.pcap

4.查看要恢复文件

tcpxtract -f evidence01.pcap

title

5.查看恢复文件

title

6.打开文件

title

0x02 网络流量提取文件(方法2)

1.下载pcap文件

wget http://barracudalabs.com/downloads/5f810408ddbbd6d349b4be4766f41a37.pcap 
--no-check-certificate

2.安装NetworkMiner

从http://sourceforge.net/projects/networkminer/files/latest/download下载

3.打开PCAP文件

title

4.查看提取出来的文件

title

5.virustotal查看恶意文件

title

0x03 网络流量提取文件(方法3)

1.wireshark还原文件

title

2.查看还原文件

title

3.还原文件

title

0x04 网络流量提取文件(方法4)

1.下载foremost并安装

wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
make
make install

2.还原文件

foremost -v -i 5f810408ddbbd6d349b4be4766f41a37.pcap

title

0x05 网络流量提取文件(方法5)

1.下载chaosreader

wget https://github.com/brendangregg/Chaosreader/archive/master.zip

2.还原文件

title

3.查看还原的exe文件

title