Bu yazımda network trafiğindeki bazı dosya formatlarının tespiti, indirilmesi ve kaynağına gidilmesini inceleyeceğiz. Birçok dosya formatı mevcut fakat bu yazımızda örnek olması açısında 3 tanesini(PNG,JPEG,AVI) inceleyeceğiz..
Örneklerde incelediğimiz trafiklerin tamamı HTTP protokolünü kullanmaktadır.
PNG DOSYALARININ TESPİTİ
Öncelikle PNG nedir? Portable Network Graphics, dijital cihazlarda kullanılan, sıkıştırılmış bir görüntü formatıdır.
Şimdi örnek bir trafikte PNG dosyalarının tespitini yapalım..
Filtre olarak aşağıdaki iki seçeneği de kullanabiliriz.
Kod:
http contains "\x89\x50\x4E\x47"
Kod:
http contains "PNG"Yani PNG stringi yerine hex değeri de yazılabilir.
Görüldüğü üzere PNG dosyamızı tespit ettik.
PNG DOSYALARININ DIŞA AKTARILMASI
Protocol Tree Window bölümünden Hypertext Transfer Protocol > File Data kısmına sağ tıklayıp Export Packet Bytes diyelim.
ve .png uzantılı olacak şekilde kayıt edelim.
veya
File > Export Objects > HTTP diyelim.
PNG dosyasını seçip kaydedebiliriz..
PNG DOSYALARININ KAYNAĞINA GİDİLMESİ
Protocol Tree Window bölümünden Hypertext Transfer Protocol > Full request URI bölümüne sağ tıklayıp Copy > Value diyerek adresi kopyalayabiliriz.
JPEG DOSYALARININ TESPİTİ
JPEG(Joint Photographic Experts Group), standartlaştırılmış bir sayısal görüntü kodlama biçimidir. JPEG standardında görüntü saklayan dosya biçimi de çoğunluk tarafından JPEG olarak adlandırılır. Bu dosyalar genellikle .jpg, .jpe ya da .jfif uzantılıdır. Yani özet olarak jpg ile jpeg arasında fark yoktur. Tek fark kullanılan karakter sayısıdır.
Filtre olarak aşağıdaki iki seçeneği de kullanabiliriz.
Kod:
http contains "\xff\xd8"
Kod:
http contains "JPEG"
JPEG DOSYALARININ DIŞA AKTARIMI
Paketimiz üzerine sağ tıklayıp Follow > TCP Stream diyelim.
Açılan pencerede Show and save data as kısmını raw olarak işaretleyelim.
Raw Nedir? Wikipedia'ya göre RAW, dijital fotoğraf makinelerinde filmin karşılığı olan sensör üzerine düşen görüntü dijital işlemci tarafından sayısal verilere dönüştürülüp fotoğraf haline getirilir. Çekim sırasında belli işlemlerden geçen ham görüntü genelde JPEG bazen de TIFF dosya biçimine dönüştürülür.
Özet olarak elimizdeki JPEG kaynağını sayısal veriye dönüştürdük. Daha sonra Find bölümünde ffd8 yazarak arama yapalım. ffd8 noktasını bulduktan sonra o noktadan itibaren bütün bölümü kopyalayalım
Ufak bir not! ffd8 yazmamızın sebebi JPEG görüntü dosyaları FF D8 ile başlar ve FF D9 ile biter. Yani buradaki amacımız başlangıç noktası bulmaktır.
Kopyaladığımız kısmı herhangi bir hex editörü ile açalım ve kopyaladığımız kısmı yapıştıralım.
ve bu dosyayı .jpeg uzantılı olacak şekilde kaydedelim. İşlemimiz bu kadar.
JPEG DOSYALARININ KAYNAĞINA GİDİLMESİ
Aynı şekilde Protocol Tree Window bölümünden Hypertext Transfer Protocol > Full request URI bölümüne sağ tıklayıp Copy > Value diyerek adresi kopyalayabiliriz.
AVI DOSYALARININ TESPİTİ
AVI Nedir? Audio Video Interleave Kasım 1992'de Microsoft tarafından tanıtılan Windows için görüntünün bir parçası olan çoklu ortam içerik biçimidir. avi video ve ses dosyalarını bir arada içeren dosyalara verilen genel addır.
Örnek bir trafikte AVI dosyalarının tespitini yapalım..
Filtre olarak aşağıdaki iki seçeneği de kullanabiliriz.
Kod:
http contains "\x52\x49\x46\x46"
Kod:
http contains "AVI"
AVI DOSYALARININ DIŞA AKTARIMI
Aynı şekilde Protocol Tree Window bölümünden Hypertext Transfer Protocol > File Data kısmına sağ tıklayıp Export Packet Bytes diyelim.
.avi uzantılı olacak şekilde kayıt edelim.
veya yukarıda örneğini gösterdiğimiz File > Export Objects > Http kısmından da .avi uzantılı dosya kayıt edilebilir.
AVI DOSYALARININ KAYNAĞINA GİDİLMESİ
PNG ve JPEG dosyalarında olduğu gibi AVI dosyalarında da kaynağa gidilirken Protocol Tree Window bölümünden Hypertext Transfer Protocol > Request URI bölümüne sağ tıklayıp Copy > Value diyerek adresi kopyalayabiliriz.
veya
Paketin üzerine sağ tıklayıp Follow > TCP Stream diyerek de dosya kaynağı hakkında bilgiler elde edilebilir.
Konumu burada bitirmiş bulunmaktayım.
Selam ve Sevgilerle..
Son düzenleme:
:
