0×00  简介

本期主要会教大家如何从流量中还原出来文件。下面我将会用5种办法来讲解。

0×01  网络流量提取文件(方法1)

1.  安装依赖

Default

yum install -y libpcap libpcap-devel

1

yuminstall-ylibpcaplibpcap-devel

1)  从http://www.rpmfind.net/linux/rpm2html/search.php?query=tcpxtract

找到对应的版本。

2)  我是centos 6.5我下载的文件是tcpxtract-1.0.1-1.el6.rf.x86_64.rpm

3)

2.  安装tcpxtract

3.  下载pcap流量包

Default

wget http://forensicscontest.com/contest01/evidence01.pcap

1

wgethttp://forensicscontest.com/contest01/evidence01.pcap

Default

tcpxtract -f evidence01.pcap

1

tcpxtract-fevidence01.pcap

4.  查看要恢复文件

5.  查看恢复文件

6.  打开文件

0×02  网络流量提取文件(方法2)

1.  下载pcap文件

Default

wget http://barracudalabs.com/downloads/5f810408ddbbd6d349b4be4766f41a37.pcap –no-check-certificate

1

2

wgethttp://barracudalabs.com/downloads/5f810408ddbbd6d349b4be4766f41a37.pcap

–no-check-certificate

从http://sourceforge.net/projects/networkminer/files/latest/download下载

3.  打开PCAP文件2.  安装NetworkMiner

4.  查看提取出来的文件

5.  virustotal查看恶意文件

0×03  网络流量提取文件(方法3)

1.  wireshark还原文件

2.  查看还原文件

3.  还原文件

0×04  网络流量提取文件(方法4)

1.  下载foremost并安装

Default

wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz make make install

1

2

3

wgethttp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz

make

makeinstall

Default

foremost -v -i 5f810408ddbbd6d349b4be4766f41a37.pcap

1

foremost-v-i5f810408ddbbd6d349b4be4766f41a37.pcap

2.  还原文件

0×05  网络流量提取文件(方法5)

1.  下载chaosreader

Default

wget https://github.com/brendangregg/Chaosreader/archive/master.zip

1

wgethttps://github.com/brendangregg/Chaosreader/archive/master.zip

2.  还原文件

3.  查看还原的exe文件

0×06  参考文档

wireshark提取流量包中的文件_返璞归真——流量中提取文件的五种方法相关推荐

  1. element 手机适配_解决手机移动端适配的五种方法

    移动端适配的五种方法 所谓移动端适配,就是WebApp在不同尺寸的屏幕上等比显示 第一种方法:viewport适配 原理:通过设置 initial-scale , 将所有设备布局视口的宽度调整为设计图 ...

  2. 用户体验改善案例_优化用户体验案例研究的五种方法

    用户体验改善案例 重点 (Top highlight) I've had the opportunity to give several portfolio reviews, and I want t ...

  3. jsp工程防止外部注入_防止 jsp被sql注入的五种方法

    一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQL注入攻击的总体 ...

  4. Word文档中怎么删除空白页?删除空白页的五种方法

    平时使用Word写文档时,经常遇到在编辑处理完文档后会发现Word中多出了一个或多个空白页,而这些空白页上已经没有任何内容却怎么都删不了,很是苦恼. 本文主要讲解了5种经过小编测试有效的删除Word文 ...

  5. java dom xml 换行,dom4j解析xml文件_用DOM解析XML文件,怎么才能让解析出来的文本不用换行_dom解析xml文件...

    网友求助:dom4j解析xml文件_用DOM解析XML文件,怎么才能让解析出来的文本不用换行_dom解析xml文件 问题importjava.text.SimpleDateFormat; import ...

  6. linux服务器清除cdn,Linux服务器中查找并删除大文件的五种方法,Linux系统清除文件内容的命令分享...

    很多时候,在处理Linux终端中的文件时,您可能希望清除文件的内容,而无需使用任何Linux命令行编辑器打开它.怎么能实现这一目标?在本文中,我们将借助一些有用的命令,通过几种不同的方式清空文件内容. ...

  7. python numpy读取数据_大神教你python 读取文件并把矩阵转成numpy的两种方法

    导读 今天小编就为大家分享一篇python 读取文件并把矩阵转成numpy的两种方法,具有很好的参考价值,希望对大家有所帮助.一起跟随小编过来看看吧 在当前目录下: 方法1: file = open( ...

  8. python大神读取_大神教你python 读取文件并把矩阵转成numpy的两种方法

    导读 今天小编就为大家分享一篇python 读取文件并把矩阵转成numpy的两种方法,具有很好的参考价值,希望对大家有所帮助.一起跟随小编过来看看吧 在当前目录下: 方法1: file = open( ...

  9. 五种方法,教你如何在Mac上查看文件完整路径

    在MacOS上,Finder显示文件默认是不带路径展示的,你进入某个文件夹只会显示文件夹的名称而已,如下图: 那如何获取或者显示文件的完整路径呢?在MacOS中有五种方法可以显示文件完整路径. 第一种 ...

最新文章

  1. 适合0基础的web开发系列教程-web 存储
  2. 查看mysql是否安装成功和mysql的版本信息
  3. PL/SQL12中文版
  4. 基于Java语言构建区块链(一)—— 基本原型
  5. [云炬创业基础笔记]第六章商业模式测试24
  6. c语言时间算法如何以毫秒显示,C语言时间的方法.doc
  7. constraint mysql_MySQL(Constraint)
  8. 快速稳定服务器,稳定又快速服务器工具推荐
  9. 南信大滨江学院计算机考试姜青山,【数据库原理】滨江学院姜青山 期末试卷知识点笔记整理 南京信息工程大学...
  10. vc mscomm串口通信使用了CButtonST按钮类软件分析
  11. python入门经典100例-【python】编程语言入门经典100例--37
  12. 使用spark-shell从本地读取文件不成功的的操作。
  13. turbo c 2.0 官方下载_随剪app下载-随剪2.0安卓官方版下载v2.0
  14. windowsError错误码详解
  15. 全国750所高校(50所985/211)501个专业的毕业生在同一家公司搞事情
  16. 计算机主板常见故障检修,主板常见故障检查与维修
  17. 创建CHM格式电子书
  18. 入门级前端选手半路接手vue项目实录
  19. 同步时钟之hwclock命令(硬件-系统,系统-硬件)
  20. 数学建模微分方程导弹问题matlab求解,数学建模之微分方程(符实现例题和MATLAB源码)...

热门文章

  1. 报名投票评选微信小程序的设计与实现
  2. office2019如何自定义安装位置?
  3. 企业组织发展的利器--麦肯锡7S模型
  4. 长路漫漫,何时尽头?
  5. 数据结构习题——输出从u到v所有简单路径
  6. JavaScript与函数式编程
  7. 安川机器人I/F面板设置 第一讲
  8. 我的LeetCode刷题初体验
  9. 2021年性价比最高的笔记本电脑 2021年最值得入手的笔记本电脑
  10. T213896 找坤巨巨