¿Hay alguna forma, usando TCPdump, Wireshark o cualquier biblioteca basada en eso, para saber si alguien está descargando un archivo específico, por ejemplo abc.exe, inspeccionando el paquete http? http, no https
Sí.
Ya que conoce el contenido del archivo, obtenga una determinada sección (o mejor, múltiples muestras del archivo desde diferentes puntos) y compare los bits codificados en hexadecimal con los datos del paquete. Si algunos, o todos ellos coinciden, puede asumir con seguridad que el archivo contenía los datos.
Ejemplo:
Paquete detectado:
00000000: 00 00 00 00 01 4e 56 41 52 33 00 ff ff ff 82 03 .....NVAR3......
00000010: 49 63 63 41 64 76 61 6e 63 65 64 53 65 74 75 70 IccAdvancedSetup
00000020: 44 61 74 61 56 61 72 00 00 00 00 00 00 00 00 00 DataVar.........
00000030: 00 00 00 00 00 00 00 00 4e 56 41 52 1c 00 ff ff ........NVAR....
00000040: ff 82 04 4e 65 77 4f 70 74 69 6f 6e 50 6f 6c 69 ...NewOptionPoli
00000050: 63 79 00 00 4e 56 41 52 21 00 ff ff ff 82 05 4e cy..NVAR!......N
00000060: 65 74 77 6f 72 6b 53 74 61 63 6b 56 61 72 00 01 etworkStackVar..
00000070: 01 00 00 00 01 4e 56 41 52 2a 00 ff ff ff 82 00 .....NVAR*......
00000080: 53 64 69 6f 44 65 76 43 6f 6e 66 69 67 75 72 SdioDevConfigur
Muestras de datos desde el ejecutable:
00000000: 61 56 61 72 aVar
00000000: 42 6f 6f 74 Boot
00000000: 64 69 6f 44 65 76 43 dioDevC
En comparación:
00000000: 00 00 00 00 01 4e 56 41 52 33 00 ff ff ff 82 03 .....NVAR3......
00000010: 49 63 63 41 64 76 61 6e 63 65 64 53 65 74 75 70 IccAdvancedSetup
00000020: 44 61 74 61 56 61 72 00 00 00 00 00 00 00 00 00 DataVar.[MATCH]
00000030: 00 00 00 00 00 00 00 00 4e 56 41 52 1c 00 ff ff ........NVAR....
00000040: ff 82 04 4e 65 77 4f 70 74 69 6f 6e 50 6f 6c 69 ...NewOptionPoli
00000050: 63 79 00 00 4e 56 41 52 21 00 ff ff ff 82 05 4e cy..NVAR!......N
00000060: 65 74 77 6f 72 6b 53 74 61 63 6b 56 61 72 00 01 etworkStackVar..
00000070: 01 00 00 00 01 4e 56 41 52 2a 00 ff ff ff 82 00 .....NVAR......
00000080: 53 64 69 6f 44 65 76 43 6f 6e 66 69 67 75 72 SdioDevConfigur
[MATCH]