tcpxtract Version 1.0

Tcpxtract ist ein Carver für Datenübertragungen. Das heißt, das Programm kann aus laufendem und aufgezeichnetem Datenverkehr die übertragenen Dateien rekonstruieren. Zur Bestimmung des jeweiligen Dateianfangs und -endes nutzt es dabei charakteristische Bytefolgen einzelner Dateiformate aus. Das Prinzip ist von foremost bekannt, das auf diese Weise Dateien aus Datenträgern wiederherstellt.

Die Installation von tcpxtract verläuft nahezu problemlos. Zunächst das Tar-Archiv laden und auspacken. Ein kurzer Blick auf ./configure --help zeigt die verfügbaren Opionen.

./configure --sysconfdir="/etc"
zum Beispiel lässt tcpxtract die Konfigurationsdatei standardmäßig in /etc suchen, während das Programm in /usr/local/bin abgelegt werden wird.

./configure
startet den Konfigurationslauf und erstellt das Makefile.

make
erstellt das Programm. Hier gibt es dann das erste kleine Problem:
make: *** No rule to make target `tcpxtract.1', needed by `all-am'. Stop.

Das Makefile enthält bereits eine Anweisung zur Erstellung der Manpage, die fehlt in der Version 1.0 aber noch. Also ersetzt man im Makefile die Zeile
man_MANS = tcpxtract.1
durch
man_MANS =

Nun läuft make fehlerfrei durch und das Programm lässt sich erstellen und installieren:
make
make check ; echo $?
0
make install

Für einen Praxistest soll das Programm Daten aufbereiten, die das HoneyLux-Projekt mit einem Honeypot gewonnen hat. Die Aufzeichnung im pcap-Format ist 323 MB groß, was auf reiche Ausbeute hoffen lässt.

tcpxtract -f tcpdump-honeylux1-23-08-2002.pcap -o dump
Das Programm läuft, erstellt aber keine Dateien. Offenbar legt es das Ausgabeverzeichnis nicht selbst an. Eine entsprechende Warnung gibt es aber leider nicht aus.

Nachdem das Verzeichnis erstellt ist, sieht es gleich viel besser aus:

Found file of type "html" in session [192.91.75.211:20480 -> 192.168.1.2:30604], exporting to dump/00000000.html
Found file of type "gif" in session [192.91.75.211:20480 -> 192.168.1.2:30860], exporting to dump/00000001.gif
Found file of type "gif" in session [64.154.80.51:20480 -> 192.168.1.2:31116], exporting to dump/00000002.gif
Found file of type "html" in session [192.91.75.211:20480 -> 192.168.1.2:33932], exporting to dump/00000003.html
Found file of type "gif" in session [192.91.75.198:20480 -> 192.168.1.2:34188], exporting to dump/00000004.gif
Found file of type "gif" in session [64.154.80.51:20480 -> 192.168.1.2:34444], exporting to dump/00000005.gif
Found file of type "html" in session [192.91.75.211:20480 -> 192.168.1.2:35468], exporting to dump/00000006.html
Found file of type "gif" in session [192.91.75.198:20480 -> 192.168.1.2:35980], exporting to dump/00000007.gif
Found file of type "gif" in session [192.91.75.198:20480 -> 192.168.1.2:35724], exporting to dump/00000008.gif
Found file of type "gif" in session [192.91.75.198:20480 -> 192.168.1.2:36236], exporting to dump/00000009.gif
Found file of type "gif" in session [64.154.80.51:20480 -> 192.168.1.2:36492], exporting to dump/00000010.gif
Found file of type "gif" in session [216.239.39.101:20480 -> 192.168.1.2:37004], exporting to dump/00000011.gif
Found file of type "html" in session [193.231.236.40:20480 -> 192.168.1.2:48524], exporting to dump/00000012.html
Segmentation fault

Bei einer live mitgelesenen Sitzung mit dem Webbrowser gab es keine Probleme. Möglicherweise enthält der Dump also einige Gemeinheiten (retransmits?).

Auch wenn es derzeit noch einige Kinderkrankheiten gibt, so ist tcpxtract einen Versuch wert, wenn es um die Wiederherstellung von Dateien aus Datenübertragungen geht.

Update 13.10.2005: Höchstwahrscheinlich wurde der Absturz durch den Dump hervorgerufen. Die Aufzeichnung erfolgte mit einer snaplen von 1500 Bytes; mehr als 34000 Pakete sind deshalb unvollständig.

Update 14.10.2005: Die fehlende man page ist in der Version 1.0.1 enthalten.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12