返璞归真——流量中提取文件的五种方法

0x00  简介

本期主要会教大家如何从流量中还原出来文件。下面我将会用5种办法来讲解。

0x01  网络流量提取文件(方法1)

1.  安装依赖

1)  从http://www.rpmfind.net/linux/rpm2html/search.php?query=tcpxtract
找到对应的版本。
2)  我是centos 6.5我下载的文件是tcpxtract-1.0.1-1.el6.rf.x86_64.rpm
3)

2.  安装tcpxtract
返璞归真——流量中提取文件的五种方法

3.  下载pcap流量包

4.  查看要恢复文件

返璞归真——流量中提取文件的五种方法

5.  查看恢复文件

返璞归真——流量中提取文件的五种方法

6.  打开文件

返璞归真——流量中提取文件的五种方法

0x02  网络流量提取文件(方法2)

1.  下载pcap文件

从http://sourceforge.net/projects/networkminer/files/latest/download下载

3.  打开PCAP文件2.  安装NetworkMiner

返璞归真——流量中提取文件的五种方法

4.  查看提取出来的文件

返璞归真——流量中提取文件的五种方法

5.  virustotal查看恶意文件

返璞归真——流量中提取文件的五种方法

0x03  网络流量提取文件(方法3)

1.  wireshark还原文件

返璞归真——流量中提取文件的五种方法

2.  查看还原文件

返璞归真——流量中提取文件的五种方法

3.  还原文件

返璞归真——流量中提取文件的五种方法

0x04  网络流量提取文件(方法4)

1.  下载foremost并安装

2.  还原文件

返璞归真——流量中提取文件的五种方法

0x05  网络流量提取文件(方法5)

1.  下载chaosreader

2.  还原文件
返璞归真——流量中提取文件的五种方法

3.  查看还原的exe文件

返璞归真——流量中提取文件的五种方法

0x06  参考文档

http://www.behindthefirewalls.com/2014/01/extracting-files-from-network-traffic-pcap.html

http://www.blackbytes.info/2012/01/four-ways-to-extract-files-from-pcaps/

【via@阿里巴巴安全部 鸟哥