이전의 포스트에서 와이어샤크를 이용한 바이너리 파일 추출에 대해서 소개한 적이 있다.
그때는 특정 프로그램인 와이어샤크를 이용한 방법에 대해 소개하였고, 오늘은
PCAP 에서 파일을 추출하는 간단한 도구를 소개한다.
이름은 Tcpxtract 이다. 이름만 봐도 대충 이 도구의 용도가 추측된다. 말 그대로
네트워크 패킷 캡쳐 파일에서 파일을 추출하는 기능을 가지고 있다.
파일의 소스코드는 다음의 경로에서 받을 수 있다.
데비안이나 우분투 리눅스 시스템이라면 다음과 같이 쉽게 설치할 수 있다.
# apt-get install tcpxtract
옵션은 간단하다. -f 로 Input 으로 사용될 패킷파일을 지정하고, -o 는 추출해 낸 데이터를
저장할 곳을 지정한다. -d 는 네트워크 디바이스를 지정할 수 있다.
다음 화면은 tcpxtract 를 이용하여 파일을 추출해 낸 것이다. 이미지 파일과 HTML 파일이
추출되는 것을 볼 수 있다. 참고로 IP 는 일전에 소개한 Tcprewrite 를 통해 랜덤하게
변경한 주소이다.
추출해낸 파일 중 하나인 00000147.jpg 파일을 들여다 보자. 일단 확장자가 JPG 이니
이미지 파일인것으로 추정할 수 있으나 확실히 확인해 보기 위해 file 명령어를 통해
타입을 살펴보니 JPEG 로 나오고 파일의 헤더를 보아도 이미지 파일이 맞는 것으로 보인다.
재미있는 기능을 하나 소개하자면, 이미지 파일을 텍스트로 보는 기능이다. 이런 기능은
없을까 하고 찾아보았는데, 역시나 있었다. jp2a 라는 것으로 JPEG 이미지를 ACSII 형태로
변환해 준다. 자. 이미지파일을 ASCII 로 변환해 보면 아래 화면과 같이
이미지의 형태를 ASCII 로 표현해 준다. :-)
[참고]
안녕하세요.
답글삭제글들의 내용들이다 좋네요..^^
패킷에 관한 문제 내시는거는 이제 안하시나요? 계속하시면 좋을거같은데...
그리고defcon이라는 국제 해킹대회에 나온 패킷문제들에 관해서 글도써주시면 안될까요?
사실 패킷 100점짜리를 국내에서 한팀풀었다고 들었거든요..;;
@ACT - 2010/05/27 15:13
답글삭제방문해 주셔서 감사합니다. 패킷 문제는 앞으로도 계속적으로 낼 생각입니다. ^.^ 그리고 말씀해 주신 데프콘 문제도 여유가 되면 살펴보도록 하겠습니다. 앞으로도 자주 들려주세요 :-)