jueves, 12 de mayo de 2011

Alternativas a recuperación de imágenes de capturas de red

Compartir este artículo:
 

Inspirado en la entrada anterior de Pablo sobre "Recuperación de imágenes con Wireshark", se me vino a la mente hacer este sobre recuperación, pero de forma más "masiva"

Puesto que la idea de filtrar el contenido con los filtros que wireshark nos ofrece es excelente, cuando son varias imagenes existen maneras mas fáciles. Veremos diferentes opciones con diferentes resultados cada una.

 

1.-Wireshark

Con wireshark tenemos una de las opciones mas fáciles y rápidas. Solo hay que dirigirnos a File>Export>Objects>HTTP

 

Después solo pulsar "Save All". Con esto exportaremos TODOS los Objetos HTTP que se cargaron durante la captura de trafico de red. Entre ellas las imágenes.

 

Y solo nos queda visualizar en el directorio donde se guardo:

 

 

2.-Tcpxtract

Otra opcion es tcpxtract, aunque la herramienta es algo antigua, sirve aún :P. Esta herramienta está en CLI y su sintaxis es algo asi:

$tcpxtract -f -o

 

En este caso lo corremos y encuetra 2 imágenes:

 

 

Vemos que una esta corrupta y la otra la obtuvo bien. Pero si nos fijamos no encontró las otras imagenes que con wireshark sacamos. Pese a lo que pueda parecer, tcpxtract tambien es una buena herramienta, personalmente recuerdo una vez que esta me sacó de un apuro :)

 

3.-File Carving con Foremost

Foremos es un programa de FileCarving, que lo podriamos definir como la excavacion de archivos basados en estructuras definidas. El uso de Foremost es muy simple.

$foremost

 

 

De entrada ya podemos esperar no muy buenos resultados con una herramienta simple de file carving en este caso ¿Por qué? porque ese tipo de programas como foremost o scalpel se basan en la recuperacion debido a la identificacion de Cabeceras y Pies de Formato, pero en una captura de red no identificarian la "basura" del trafico y se corromperia el archivo por la basura añadida dentro de su formato.

 

 

Como lo supusimos, los archivos estan dañados. En este caso no nos sirve esta herramienta, pero Foremos es una EXCELENTE herramienta en otro tipo de entornos.

Sin más podemos concluir que la manera más fácil es desde wireshark, fácil, rapido y GUI (para los vagos :P) Y la parte importante de este post es que "Hay muchas maneras de resolver un mismo problema y no debemos de dejar las demás opciones a un lado."

Espero les guste la simple entrada.

 

Saludos ;)

Atte. hecky

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...