기본적으로 패킷을 분석하기 전에
패킷을 캡처하고 해당 캡처본을 확인한다.
1. 우선 http로 필터링을 한다.
2. 분석하려는 패킷을 follow로 tcp stream 한다.
3. 패킷을 분석한다.
http.response.code == 200
를 할 경우 응답 코드가 200인 패킷들만 필터링 해서 가져오기 때문에 패킷에서 분석을 할 때 보내는 것은 있지만 어떠한 응답이 왔는지 확인하기 위해서 필터링을 해줄 수 있다.
파일을 주고 받는 http 리퀘스트와 응답을 확인할 수 있다. dpkt를 이용해서 원하는 패킷만 따로 분류할 수도 있다.
📊 A-Packets: Online PCAP Analysis and Network Traffic Insights
Unlock PCAP analysis with A-Packets. Analyze PCAP files, explore network traffic, extract passwords, and gain insights into HTTP, SMB, DNS, and SSL/TLS protocols.
apackets.com
이 사이트를 이용해 패킷을 분석할 수도 있다 그 대신에 해당 파일 정보가 해당 사이트로 넘어가기 때문에 이를 주의하고 사용하면 된다.
'포렌식(forensic)' 카테고리의 다른 글
| unallocated space란 - 집중 정리 및 요약 (0) | 2024.05.08 |
|---|---|
| 메모리 포렌식 - cridex 분석 (0) | 2024.05.04 |
| Windows Artifacts - Amcache.hve 요약 정리 및 파일 분석 (0) | 2024.04.03 |