Python取证 - Dshell和Scapy

DShell


Dshell 是一个基于Python的网络取证分析工具包.该工具包由美国陆军研究实验室开发.该开源工具包的发布于2014年.该工具包的主要重点是轻松进行取证调查.

该工具包由大量解码器组成,列于下表.

Sr.No.解码器名称&描述
1

dns

这用于提取与DNS相关的查询

2

reservedips

识别DNS问题的解决方案

3

大流量

netflows列表

4

rip-http

用于从HTTP流量中提取文件

5

协议

用于识别非标准协议

美国陆军实验室维护了克隆存储库GitHub在以下链接 :

https://github. com/USArmyResearchLab/Dshell

Clone Repository

clone由用于安装此工具包的脚本 install-ubuntu.py()组成.

安装成功后,它将自动构建可执行文件和将在以后使用的依赖项.

依赖关系如下 :

dependencies = { 
   "Crypto": "crypto", 
   "dpkt": "dpkt", 
   "IPy": "ipy", 
   "pcap": "pypcap" 
}

此工具包可用于对付pcap(数据包捕获)文件,这些文件通常在事件期间或警报期间记录.这些pcap文件由Linux平台上的libpcap或Windows平台上的WinPcap创建.

Scapy

Scapy是一个基于Python的工具,用于分析并操纵网络流量.以下是Scapy工具包的链接 :

http://www .secdev.org/projects/scapy/

此工具包用于分析数据包操作.它能够解码大量协议的数据包并捕获它们. Scapy与Dshell工具包的不同之处在于向研究者提供了有关网络流量的详细描述.这些描述已经实时记录.

Scapy能够使用第三方工具或操作系统指纹识别进行绘图.

请考虑以下示例.

import scapy, GeoIP #Imports scapy and GeoIP toolkit 
from scapy import * 
geoIp = GeoIP.new(GeoIP.GEOIP_MEMORY_CACHE) #locates the Geo IP address 
def locatePackage(pkg): 
src = pkg.getlayer(IP).src #gets source IP address 
dst = pkg.getlayer(IP).dst #gets destination IP address 
srcCountry = geoIp.country_code_by_addr(src) #gets Country details of source 
dstCountry = geoIp.country_code_by_addr(dst) #gets country details of destination 
print src+"("+srcCountry+") >> "+dst+"("+dstCountry+")\n"

此脚本详细说明网络数据包中的国家/地区详细信息,彼此进行通信.

上述脚本将生成以下输出.

DShell和Scapy输出