domingo, 24 de enero de 2010

Extrayendo Binarios de Capturas PCAP con Wireshark

Extraer archivos binarios de una captura de tráfico, es muy sencillo de realizar utilizando Wireshark, a continuación como hacerlo.

En el siguiente ejemplo, la transferencia del binario se realizo a través de FTP, por lo debemos ubicar donde comienza la conexión TCP al canal de datos, si la transferencia hubiera sido por HTTP, podríamos simplemente seleccionar el paquete donde se realiza el pedido, por ejemplo "GET /malware.exe HTTP/1.1".

Una vez seleccionado el paquete, hacemos "botón derecho", "Follow TCP Stream":



Luego simplemente guardamos el resultado con "Save As", verificando que el tilde de "Raw" este seleccionado. Podemos comprobar que estamos por exportar un binario, porque encontramos el header de "MZ" al comienzo, que identifica a los ejecutables de Windows:



Si queremos estar seguros, con el comando "file" podemos verificar que exportamos un binario:


4 comentarios:

Pablo dijo...

Hola Leo, primero felicitarte por tu blog, la verdad excelente, no se si me podrias decir tu correo, para intercambiar opiniones. Salu2

Leonardo Pigñer dijo...

Hola Pablo,

Gracias por las felicitaciones! :)

Podes escribirme a: lpigner@base4sec.com

Saludos!

Pablo dijo...

Gracias Leo, te estare escribiendo, leo una pregunta, en donde puedo tomar los cursos de C.E.H o de Pen Testing, para rendir el examen posteriormente, soy del interior, y nose si habra de alguna manera hacerlo online...Muchas Gracias Leo.

Leonardo Pigñer dijo...

Pablo, hasta donde conozco podemos tomar cursos de CEH, en Etek, CentralTech e IT College, me parece que oficial solo es el de Etek, pero igualmente podes rendir libre la certificacion.
Te recomiendo buscar mas info en la web de Ec-Council.

Saludos!

LinkWithin