Xplico - Xplico
| Разработчики) | Джанлука Коста и Андреа де Франчески |
|---|---|
| Стабильный выпуск | 1.2.2 / 2 мая 2019 г.[1] |
| Написано в | C, PHP, Python |
| Операционная система | Linux |
| Тип | Сетевая криминалистика |
| Лицензия | Стандартная общественная лицензия GNU |
| Интернет сайт | www |
Xplico это сетевая криминалистика инструмент анализа (NFAT), который представляет собой программное обеспечение, которое восстанавливает содержание сборов, выполненных с помощью анализатор пакетов (например. Wireshark, tcpdump, Netsniff-ng ).
в отличие от анализатор протокола, основная характеристика которого не является реконструкцией данных, переносимых протоколами, Xplico была создана специально с целью восстановления данных приложения протокола, и она способна распознавать протоколы с помощью технологии, называемой Port Independent Protocol Identification (PIPI).[2]
Название «xplico» относится к латинский глагол Explico и его значение.
Xplico - это бесплатное программное обеспечение с открытым исходным кодом, с учетом требований Стандартная общественная лицензия GNU (GPL), версия 2.[3]
Обзор
Чтобы прояснить, что делает Xplico, мы можем представить себе необработанные данные (Ethernet или же PPP ) веб-навигации (HTTP протокол), в этом случае Xplico может извлекать и восстанавливать все веб-страницы и содержимое (изображения, файлы, файлы cookie и т. д.). Аналогичным образом Xplico может восстановить электронную почту, которой обмениваются IMAP, Поп, и SMTP протоколы.
Среди протоколов, которые Xplico идентифицирует и реконструирует, есть VoIP, MSN, IRC, HTTP, IMAP, POP, SMTP и FTP.
Функции
Архитектура программного обеспечения
Программная архитектура Xplico обеспечивает:
- ан модуль ввода для обработки ввода данных (от зондов или сниффера пакетов)
- ан модуль вывода организовать декодированные данные и представить их конечному пользователю; и
- набор модули декодирования, называется анализатор протокола для расшифровки индивидуального сетевого протокола.
С модуль вывода Xplico может иметь разные пользовательские интерфейсы, фактически его можно использовать из командной строки и из пользовательского веб-интерфейса, называемого «Xplico Interface». В анализатор протокола это модули для декодирования индивидуального протокола, каждый анализатор протокола может восстанавливать и извлекать данные протокола.
Все модули являются подключаемыми и через файл конфигурации могут быть загружены или нет во время выполнения программы. Это позволяет сфокусировать декодирование, то есть если вы хотите декодировать только VoIP звонков, но не веб-трафика, тогда вы настраиваете Xplico для загрузки только RTP и ГЛОТОК модули, за исключением модуля HTTP.[4]
Крупномасштабный анализ данных pcap
Еще одной особенностью Xplico является его способность обрабатывать (восстанавливать) огромные объемы данных: он может одновременно управлять файлами pcap размером в несколько гигабайт и даже терабайт от нескольких зондов захвата. Это благодаря использованию различных типов «модулей ввода». Файлы pcap можно загружать разными способами, прямо из пользовательского интерфейса Xplico Web, с помощью SFTP или с каналом передачи, называемым PCAP-over-IP.
Для этих функций Xplico используется в контексте Законный перехват [5][6] И в Сетевая криминалистика.[7]
VoIP звонки
Xplico, а также его конкретная версия, называемая pcap2wav может декодировать вызовы VoIP на основе RTP протокол (ГЛОТОК, H323, MGCP, ТОЩИЙ ) и поддерживает декодирование аудиокодеков G711ulaw, G711alaw, G722, G729, G723, G726 и MSRTA (звук в реальном времени от Microsoft).[8]
Основные команды, работающие из командной строки
В этих примерах предполагается, что eth0 это используемый сетевой интерфейс.
- получение и декодирование в реальном времени:
xplico -m rltm -i eth0
- расшифровка одного файла pcap:
xplico -m pcap -f example.pcap
- декодирование каталога, содержащего много файлов pcap
xplico -m pcap -d / путь / каталог /
во всех случаях декодированные данные хранятся в каталоге с именем xdecode. С параметром -м мы можем выбрать "модуль ввода"тип. Модуль ввода с именем rltm получает данные непосредственно из сетевого интерфейса, наоборот модуль ввода с именем pcap получает данные из файлов или каталога pcap.
Распределения
Xplico устанавливается по умолчанию в основных дистрибутивах цифровая криминалистика и тестирование на проникновение:
- Kali Linux,[9]
- BackTrack,[10]
- DEFT,[11]
- Лук безопасности
- Matriux
- BackBox
- CERT Репозиторий инструментов судебной экспертизы Linux.[12]
Смотрите также
- Сравнение анализаторов пакетов
- tcpdump, а анализатор пакетов
- pcap, интерфейс прикладного программирования (API) для захват сетевого трафика
- шпионить, а командная строка анализатор пакетов включены с Солярис
- WireShark, сеть анализатор пакетов
- dsniff, а анализатор пакетов и набор инструментов для анализа трафика
- netsniff-ng, бесплатный набор сетевых инструментов Linux
- нгреп, инструмент, который может сопоставлять регулярные выражения в полезных нагрузках сетевых пакетов
- эфир, инструмент сопоставления сети, основанный на отслеживании трафика
- tcptrace, инструмент для анализа журналов, созданных tcpdump
Рекомендации
- ^ https://www.xplico.org/archives/1562
- ^ "ISSA Journal" (PDF). Получено 2012-06-01.
- ^ «Лицензия Xplico».
- ^ Габриэле Фаджоли, Андреа Гирардини (2009). Компьютерная криминалистика. Италия: Апогео. С. 5, 227, 278, 369–370. ISBN 978-88-503-2816-1.
- ^ «Об обнаружении преступных угроз в Интернете (Европейский проект FP7-SEC INDECT)» (PDF). Получено 2017-05-09.
- ^ "Sistema de interceptación y análisis de comunicaciones) |".
- ^ Кэмерон Х. Малин, Эоган Кейси BS MA (2012). Полевое руководство по судебной экспертизе вредоносных программ для систем Windows: полевые руководства по цифровой криминалистике. ISBN 978-1597494724.
- ^ pcap2wav интерфейс Xplico http://www.xplico.org/archives/1287
- ^ Kali, Xplico как пакет.
- ^ «Назад 5».
- ^ «Проекты DEFT Linux». Архивировано из оригинал 18 июня 2012 г.
- ^ "Репозиторий инструментов судебной экспертизы Linux".