开源网络取证工具Xplico

       

　　举个例子，Xplico可以在pcap文件中提取邮件内容(通过POP，IMAP，SMTP协议)，所有的HTTP内容，每个VoIP的访问(SIP)，FTP，TFTP等等，但是Xplico不是一个网络协议分析工具。Xplico是一个开源的网络取证分析工具(NFAT)。

　　特征：

　　协议支持：HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, … ;

　　针对每个应用协议都有端口独立协议识别(PIPI);

　　多线程;

　　支持使用SQLite数据库或者Mysql数据库甚至文件进行数据和信息的输出;

　　每个数据都由Xplico重新组装，并被关联到能够唯一识别流量的XML文件。Pcap包含重组数据;

　　支持实时查询细节(能否真的实现取决于流量大小、协议类型和计算机性能-TAM, CPU, HD访问时间等...);

　　为任何数据包和soft ACK认证使用ACK确认进行TCP重组;

　　反向DNS查找是查找包含在输入文件(pcap)中的DNS数据包，而不是查找来自外部的DNS服务器;

　　对输入数据的大小或者输入文件的数量没有限制(仅仅限制了HD的大小);

　　支持IPv4和IPv6;

　　模块化。每个Xplico部件都是一个模块。输入接口、协议解码器、输出接口都实现了模块化;

　　轻松创建任何调度，使用最合适、最有效的方法实现数据分离。

　　下载地址

原文地址:https://hack.77169.com/201512/219545.shtm