В этой статье мы рассмотрим Xplico, автоматизированный инструмент сетевого криминалистического анализа. Я покажу, как установить и использовать Xplico.
Еще по теме: Как расшифровать трафик HTTPS
Xplico — это мощный инструмент криминалистического анализа сетевого трафика (Network Forensic Analysis Tool — NFAT). Цель Xplico в том, чтобы извлечь из перехваченного трафика данные, которые предназначались приложению. Например, из PCAP файла утилита может извлекать электронную почту (POP, IMAP и SMTP протоколы), весь контент HTTP трафика, каждый вызов VoIP (SIP), FTP, TFTP и так далее.
Как установить и использовать Xplico
Xplico можно найти в Kali Linux; однако я обнаружил, что в последних нескольких выпусках (2019–2022) возникают проблемы при попытке запустить Xplico, возможно, из-за обновлений внутри самой Kali.
Хотя я объясню, как запустить Xplico в Kali Linux для тех, кому посчастливилось запустить его без проблем, мы будем использовать Xplico на виртуальной машине под управлением DEFT Linux 8.1 для тех из нас, у кого могут возникнуть трудности с запуском Xplico в Сама Кали.
Установка Xplico на Kali Linux
Выполните следующие действия, чтобы установить Xplico в Kali Linux:
Шаг 1: Если Xplico не поставляется с используемой вами версией Kali Linux, вы можете сначала обновить Kali Linux и установить Kali forensics:
1 |
sudo apt update && sudo install kali-linux-forensics |
Шаг 2: Обновите Kali Linux:
1 |
sudo apt update |
Шаг 3: После обновления Kali Linux установите Xplico:
1 |
sudo apt-get install xplico |
Шаг 4: Нажмите Y и установите необходимые файлы.
Затем нужно запустить службы Apache и Xplico.
Шаг 5: Запустите службу apache2:
1 |
sudo apache2 start |
Шаг 6: Запустите службу Xplico:
1 |
sudo xplico start |
Шаг 7: Чтобы запустить Xplico с правами администратора от имени пользователя root, выполните команду:
1 |
sudo /etc/init.d/xplico start |
Шаг 8: Введите Xplico в строке поиска и нажмите на первую опцию Xplico:
Шаг 9: В браузере откроется интерфейс Xplico. Вы также можете сделать это вручную, введя в браузере
1 |
http://localhost:9876/ |
Если предыдущие шаги не сработали, попробуйте использовать Xplico в DEFT Linux.
Загрузка образцов
Скачайте файлы .pcap для анализа в Xplico. Все три файла и многие другие доступны здесь. Но чтобы облегчить вам жизнь, вот прямые ссылки:
Теперь, когда все файлы загружены, запустим тулзу.
Создание нового кейса и сессии Xplico
После запуска Xplico в Kali Linux или DEFT Linux, можно приступить к созданию и анализу файлов .pcap. Xplico имеет интуитивно понятный интерфейс.
Сначала нужно создать новый кейс (проект) и сессию.
Чтобы создать новый кейс, на вкладке Case (Кейс), нажмите на пункте New Case (Новый кейс).
Затем дайте имя кейсу. Я назвал свой проект CFSI-HTTP-2023
Нажмите Create (Создать) и выберите в списке ваш проект.
После создания кейса, нужно создать новую сессию. В левом меню Xplico нажмите на кнопку New Session (Новая сессия).
Выберите название сессии и нажмите Create (Создать).
Выберите созданную сессию (в моем случае — CFSIHTTPAnalysis).
Это откроет главное окно Xplico, в котором вы сможете загрузить файлы для анализа.
[box type=»info» align=»» class=»» width=»»]Для каждого загруженного файла .pcap нужно будет создать новый кейс.[/box]
Переходим к анализу пакетов с помощью Xplico.
Анализ веб-трафика
Начнем с автоматического анализа веб-трафика и HTTP:
В сессии CFSIHTTP мы будем анализировать файл http_witp_jpegs.pcap, который необходимо извлечь из архива http_witp_jpegs.gz. Я надеюсь, вы знаете, как это сделать ;).
Нажав на кнопку Browse, загрузите файл .pcap.
Выберите http_witp_jpegs.pcap и нажмите Открыть.
4. Затем нажмите кнопку Upload (Загрузить)» в разделе Pcap set (Набор Pcap), чтобы загрузить файл для анализа. Загрузка файла может занять несколько секунд.
Как только файл будет проанализирован, вы увидите DECODING COMPLETED в области данных сеанса Xplico.
Процесс загрузки и декодирования файла необходимо выполнить для каждого файла .pcap.
Для анализа файлов перейдите в меню слева.
Нажмите на Web и выберите пункт Site. Xplico отобразит список посещенных сайтов.
Теперь попробуйте пункт Images (Изображения). Мы видим, что инструмент расшифровал четыре изображения.
Мы разобрались, как выполнять автоматический анализ HTTP и найти различные артефакты, включая изображения, просмотренные и загруженные через Интернет, давайте перейдем к автоматическому анализу SMPT и электронной почты.
Анализ SMTP-трафика
Сздадим новый кейс для анализа SMTP (Simple Mail Transfer Protocol), который используется для отправки электронных писем. Анализ SMTP-трафика может выявить отправителя, получателя и другие сведения о электронном письме, включая вложения.
В этом упражнении я повторил предыдущие шаги, чтобы создать новый кейс и сессию. Данные моего кейса:
- Название проекта: CFSI-SMTP-2023
- Внешняя ссылка: Анализ SMTP
- Название сеанса: Анализ CFSI SMTP 2023
Как только кейс и сессия, нажмите на сессию, чтобы продолжить.
Загрузите файл smtp.pcap.
В меню Mail (Почта) выберите пункт Email (Электронная почта).
На предыдущем экране мы видим, что Xplico расшифровал электронное письмо.
Если нажать на SMTP, можно будет просмотреть содержимое письма.
Анализ трафика VoIP
Xplico также может декодировать VoIP-трафик, если он перехвачен и сохранен в файле .pcap. Для этого анализа выполните следующие действия.
Создайте новый кейс и сессию.
Вот подробности моего кейса и сеанса:
- Название дела: CFSI-Voice-2023
- Внешняя ссылка: Анализ голоса CFSI
- Имя сеанса: CFSIVoice2023
После создания проекта и сеанса можно загрузить в приложение файл nb6-telephone.pcap.
В меню Voip, нажмите на пункте Sip.
Xplico автоматически расшифрует захваченный разговор VoIP, после чего можно будет его воспроизвести.
Возможно, вам потребуется установить плагины для возпроизведения аудиофайла.
Заключение
В этой статье вы научились использовать Xplico. Надеюсь, вам понравилось использовать этот автоматизированный инструмент. Далее мы рассмотрим другие инструменты NFAT. Увидимся в следующей статье.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Анализ сетевого трафика
- Анализ файлов PCAP в песочнице Windows
- Анализ трафика с помощью сканера ZUI (Zed User Interface)
а виндовс 7????пойдет
Нет, но можно попробовать запихнуть в VMware.
кстати еретик, вопрос к тебе….пытаюся установить VMware он пишет типо у тебя есть старая версия и автоматически удаляет ее, но у него не выходит и выдает ошибку (the MSI» failed) что делать?
Если на самом деле есть старая удали её сам, или если не поможет через удаление почисть ручками. А потом ставь новую! У меня не было такой проблемы, хотя я тоже переходил со старой на новую версию.
все файлы удалил руками даже реестр почистил!!а ему все равно?и в инете не чего не нашел…
Может не правильно крякнутая версия, попробуй скачать другую, с другого источника!
в компанентах висит, удаляю выдает ту же ошибку
я 7 разных штук качал:DDD
Отличный софт!!! Огромное спасибо!!!
Тварь в службах выключи, поетому не ставится