6月 1

Wireshark SMB file extraction plug-inをいれてみた。

TaddongというところからWiresharkのplug-inがリリースされていました。
blogのエントリを斜め読みしたところ、SMB通信をキャプチャすると流れたファイルを補足して表示し
保存までできるような感じです。

とまぁ、いつものごとくしっかりドキュメントも読まずに
とりあえず動かしみよう。ということで手元のUbuntu9.10に入れてみました。
このplug-inはソースにパッチを当てることで組み込むことができます。
ということで

まずは必要そうなものをインストール。apt-get install patch
apt-get install autoconf
apt-get install libtool
apt-get install byacc
apt-get install flex
apt-get install libgtk2.0-dev
apt-get install libglib2.0-dev

次にソースをSubVersionでダウンロード。svn co http://anonsvn.wireshark.org/wireshark/trunk/ wireshark
ディレクトリに移動してパッチをダウンロード、適用します。

問題なくパッチが適用できたら、いざ、インストール。./autogen.sh
./configure
make
make install

これで、Wiresharkが起動できました。
# 何かが足りない場合は、適宜インストールしてくださいね。

Windowsのファイル共有を使ってファイルをコピーしている通信をキャプチャしてみました。
Plug-in自体は
メニュの[File]→[Export]→[Object]→[SMB]から利用することができます。
すると下図のようなウインドウが表示され、やり取りされたファイルが表示されました。
ちなみに、ここで選択すると、該当するパケットNo.が選択されます。

次にファイルをうまく抽出できるかを試してみた結果
下図のように画像ファイルを抽出しすることに成功しました。

ただ、小さめのテキストファイルは、サイズがゼロになってしまい
うまく抽出することができませんでした。
# ボクのやり方が悪いのか、小さいファイルに対しては、そうなってしまうのか
# 原因までは、突き止めていません。

色々役に立ちそうな、Plug-inだと思いますので
しばらく、いじってみようかと思います。



Copyright 2017. All rights reserved.

Posted 2010年6月1日 by ntsuji in category "memo", "packet", "tool