¿Alguna forma de saber si un paquete detectado contiene un archivo descargado?

0

¿Hay alguna forma, usando TCPdump, Wireshark o cualquier biblioteca basada en eso, para saber si alguien está descargando un archivo específico, por ejemplo abc.exe, inspeccionando el paquete http? http, no https

    
pregunta elena.bdc 25.04.2017 - 17:58
fuente

1 respuesta

2

Sí.

Ya que conoce el contenido del archivo, obtenga una determinada sección (o mejor, múltiples muestras del archivo desde diferentes puntos) y compare los bits codificados en hexadecimal con los datos del paquete. Si algunos, o todos ellos coinciden, puede asumir con seguridad que el archivo contenía los datos.

Ejemplo:

Paquete detectado:

00000000: 00 00 00 00 01 4e 56 41 52 33 00 ff ff ff 82 03  .....NVAR3......
00000010: 49 63 63 41 64 76 61 6e 63 65 64 53 65 74 75 70  IccAdvancedSetup
00000020: 44 61 74 61 56 61 72 00 00 00 00 00 00 00 00 00  DataVar.........
00000030: 00 00 00 00 00 00 00 00 4e 56 41 52 1c 00 ff ff  ........NVAR....
00000040: ff 82 04 4e 65 77 4f 70 74 69 6f 6e 50 6f 6c 69  ...NewOptionPoli
00000050: 63 79 00 00 4e 56 41 52 21 00 ff ff ff 82 05 4e  cy..NVAR!......N
00000060: 65 74 77 6f 72 6b 53 74 61 63 6b 56 61 72 00 01  etworkStackVar..
00000070: 01 00 00 00 01 4e 56 41 52 2a 00 ff ff ff 82 00  .....NVAR*......
00000080: 53 64 69 6f 44 65 76 43 6f 6e 66 69 67 75 72     SdioDevConfigur

Muestras de datos desde el ejecutable:

00000000: 61 56 61 72                                      aVar

00000000: 42 6f 6f 74                                      Boot

00000000: 64 69 6f 44 65 76 43                             dioDevC

En comparación:

00000000: 00 00 00 00 01 4e 56 41 52 33 00 ff ff ff 82 03  .....NVAR3......
00000010: 49 63 63 41 64 76 61 6e 63 65 64 53 65 74 75 70  IccAdvancedSetup
00000020: 44 61 74 61 56 61 72 00 00 00 00 00 00 00 00 00  DataVar.[MATCH]
00000030: 00 00 00 00 00 00 00 00 4e 56 41 52 1c 00 ff ff  ........NVAR....
00000040: ff 82 04 4e 65 77 4f 70 74 69 6f 6e 50 6f 6c 69  ...NewOptionPoli
00000050: 63 79 00 00 4e 56 41 52 21 00 ff ff ff 82 05 4e  cy..NVAR!......N
00000060: 65 74 77 6f 72 6b 53 74 61 63 6b 56 61 72 00 01  etworkStackVar..
00000070: 01 00 00 00 01 4e 56 41 52 2a 00 ff ff ff 82 00  .....NVAR......
00000080: 53 64 69 6f 44 65 76 43 6f 6e 66 69 67 75 72     SdioDevConfigur
                                                           [MATCH]
    
respondido por el thel3l 25.04.2017 - 18:16
fuente

Lea otras preguntas en las etiquetas