Установка и использование Xplico

Xplico использование установка

В этой статье мы рассмотрим Xplico, автоматизированный инструмент сетевого криминалистического анализа. Я покажу, как установить и использовать Xplico.

Еще по теме: Как расшифровать трафик HTTPS

Xplico — это мощный инструмент криминалистического анализа сетевого трафика (Network Forensic Analysis Tool — NFAT). Цель Xplico в том, чтобы извлечь из перехваченного трафика данные, которые предназначались приложению. Например, из PCAP файла утилита может извлекать электронную почту (POP, IMAP и SMTP протоколы), весь контент HTTP трафика, каждый вызов VoIP (SIP), FTP, TFTP и так далее.

Как установить и использовать Xplico

Xplico можно найти в Kali Linux; однако я обнаружил, что в последних нескольких выпусках (2019–2022) возникают проблемы при попытке запустить Xplico, возможно, из-за обновлений внутри самой Kali.

Хотя я объясню, как запустить Xplico в Kali Linux для тех, кому посчастливилось запустить его без проблем, мы будем использовать Xplico на виртуальной машине под управлением DEFT Linux 8.1 для тех из нас, у кого могут возникнуть трудности с запуском Xplico в Сама Кали.

Установка Xplico на Kali Linux

Выполните следующие действия, чтобы установить Xplico в Kali Linux:

Шаг 1: Если Xplico не поставляется с используемой вами версией Kali Linux, вы можете сначала обновить Kali Linux и установить Kali forensics:

Шаг 2: Обновите Kali Linux:

Шаг 3: После обновления Kali Linux установите Xplico:

Шаг 4: Нажмите Y и установите необходимые файлы.

Затем нужно запустить службы Apache и Xplico.

Шаг 5: Запустите службу apache2:

Шаг 6: Запустите службу Xplico:

Шаг 7: Чтобы запустить Xplico с правами администратора от имени пользователя root, выполните команду:

Шаг 8: Введите Xplico в строке поиска и нажмите на первую опцию Xplico:

Запуск Xplico на Kali Linux
Запуск Xplico на Kali Linux

Шаг 9: В браузере откроется интерфейс Xplico. Вы также можете сделать это вручную, введя в браузере

Если предыдущие шаги не сработали, попробуйте использовать Xplico в DEFT Linux.

Загрузка образцов

Скачайте файлы .pcap для анализа в Xplico. Все три файла и многие другие доступны здесь. Но чтобы облегчить вам жизнь, вот прямые ссылки:

Теперь, когда все файлы загружены, запустим тулзу.

Создание нового кейса и сессии Xplico

После запуска Xplico в Kali Linux или DEFT Linux, можно приступить к созданию и анализу файлов .pcap. Xplico имеет интуитивно понятный интерфейс.

Сначала нужно создать новый кейс (проект) и сессию.

Чтобы создать новый кейс, на вкладке Case (Кейс), нажмите на пункте New Case (Новый кейс).

New Case Xplico
New Case Xplico

Затем дайте имя кейсу. Я назвал свой проект CFSI-HTTP-2023

Создание нового кейса
Создание нового кейса

Нажмите Create (Создать) и выберите в списке ваш проект.

Список кейсов (проектов)
Список кейсов (проектов)

После создания кейса, нужно создать новую сессию. В левом меню Xplico нажмите на кнопку New Session (Новая сессия).

Новый сеанс
Новая сессия

Выберите название сессии и нажмите Create (Создать).

Создание сеанса кейса
Создание сеанса кейса

Выберите созданную сессию (в моем случае — CFSIHTTPAnalysis).

Детали сессии кейса
Информация о сессии кейса

Это откроет главное окно Xplico, в котором вы сможете загрузить файлы для анализа.

Для каждого загруженного файла .pcap нужно будет создать новый кейс.

Переходим к анализу пакетов с помощью Xplico.

Анализ веб-трафика

Начнем с автоматического анализа веб-трафика и HTTP:

В сессии CFSIHTTP мы будем анализировать файл http_witp_jpegs.pcap, который необходимо извлечь из архива http_witp_jpegs.gz. Я надеюсь, вы знаете, как это сделать ;).

Извлеченные файлы образцов Xplico
Извлеченные файлы образцов

Нажав на кнопку Browse, загрузите файл .pcap.

Поле выбора pcap
Выбор файла pcap

Выберите http_witp_jpegs.pcap и нажмите Открыть.

4. Затем нажмите кнопку Upload (Загрузить)» в разделе Pcap set (Набор Pcap), чтобы загрузить файл для анализа. Загрузка файла может занять несколько секунд.

Декодирование файла Pcap

Как только файл будет проанализирован, вы увидите DECODING COMPLETED в области данных сеанса Xplico.

Декодирование завершено файла pcap

Процесс загрузки и декодирования файла необходимо выполнить для каждого файла .pcap.

Для анализа файлов перейдите в меню слева.

Mеню Xplico Analysis
Mеню Xplico Analysis

Нажмите на Web и выберите пункт Site. Xplico отобразит список посещенных сайтов.

Сайты декодированные Xplico

Теперь попробуйте пункт Images (Изображения). Мы видим, что инструмент расшифровал четыре изображения.

Извлеченные изображения
Извлеченные изображения

Мы разобрались, как выполнять автоматический анализ HTTP и найти различные артефакты, включая изображения, просмотренные и загруженные через Интернет, давайте перейдем к автоматическому анализу SMPT и электронной почты.

Анализ SMTP-трафика

Сздадим новый кейс для анализа SMTP (Simple Mail Transfer Protocol), который используется для отправки электронных писем. Анализ SMTP-трафика может выявить отправителя, получателя и другие сведения о электронном письме, включая вложения.

В этом упражнении я повторил предыдущие шаги, чтобы создать новый кейс и сессию. Данные моего кейса:

  • Название проекта: CFSI-SMTP-2023
  • Внешняя ссылка: Анализ SMTP
  • Название сеанса: Анализ CFSI SMTP 2023

Как только кейс и сессия, нажмите на сессию, чтобы продолжить.

SMTP Xplico
SMTP

Загрузите файл smtp.pcap.

Xplico установка

В меню Mail (Почта) выберите пункт Email (Электронная почта).

Расшифрованное сообщение
Расшифрованное сообщение

На предыдущем экране мы видим, что Xplico расшифровал электронное письмо.

Если нажать на SMTP, можно будет просмотреть содержимое письма.

Содержимое расшифрованного письма
Содержимое письма

Анализ трафика VoIP

Xplico также может декодировать VoIP-трафик, если он перехвачен и сохранен в файле .pcap. Для этого анализа выполните следующие действия.

Создайте новый кейс и сессию.

Вот подробности моего кейса и сеанса:

  • Название дела: CFSI-Voice-2023
  • Внешняя ссылка: Анализ голоса CFSI
  • Имя сеанса: CFSIVoice2023

После создания проекта и сеанса можно загрузить в приложение файл nb6-telephone.pcap.

Файл VoIP
Файл VoIP

В меню Voip, нажмите на пункте Sip.

Трафик VoIP
Трафик VoIP

Xplico автоматически расшифрует захваченный разговор VoIP, после чего можно будет его воспроизвести.

Вызов VoIP
Вызов VoIP

Возможно, вам потребуется установить плагины для возпроизведения аудиофайла.

Заключение

В этой статье вы научились использовать Xplico. Надеюсь, вам понравилось использовать этот автоматизированный инструмент. Далее мы рассмотрим другие инструменты NFAT. Увидимся в следующей статье.

ПОЛЕЗНЫЕ ССЫЛКИ:

ВКонтакте
OK
Telegram
WhatsApp
Viber

10 комментариев

  1. ROCKET

    а виндовс 7????пойдет

    • Нет, но можно попробовать запихнуть в VMware.

  2. ROCKET

    кстати еретик, вопрос к тебе….пытаюся установить VMware он пишет типо у тебя есть старая версия и автоматически удаляет ее, но у него не выходит и выдает ошибку (the MSI» failed) что делать?

    • Если на самом деле есть старая удали её сам, или если не поможет через удаление почисть ручками. А потом ставь новую! У меня не было такой проблемы, хотя я тоже переходил со старой на новую версию.

  3. ROCKET

    все файлы удалил руками даже реестр почистил!!а ему все равно?и в инете не чего не нашел…

    • Может не правильно крякнутая версия, попробуй скачать другую, с другого источника!

  4. ROCKET

    в компанентах висит, удаляю выдает ту же ошибку

  5. ROCKET

    я 7 разных штук качал:DDD

  6. lemon

    Отличный софт!!! Огромное спасибо!!!

  7. mon0

    Тварь в службах выключи, поетому не ставится

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *