Dshell – 网络取证分析框架

Dshell是一个可扩展的网络取证分析框架。

它支持快速开发插件，以支持解析网络数据包捕获。

主要特征：

强大的流重组

IPv4和IPv6支持

自定义输出处理程序

可链式解码器

要求：

Linux（在Ubuntu 12.04上开发）

Python 2.7

pygeoip

MaxMind GeoIP旧数据集

PyCrypto

dpkt

IPY

pypcap

elasticsearch-PY

用法：

列出所有可用的解码器以及有关它们的基本信息

解码-l

显示大多数解码器可用的通用命令行标志

解码-h

显示有关解码器的信息，包括可用的命令行标志

decode -d <decoder>

在pcap文件上运行选定的解码器

解码-d <decoder> <pcap>

安装

安装上面列出的所有必要的Python模块。其中许多都可以通过pip和/或apt-get获得。Pygeoip尚未作为软件包提供，必须使用pip或手动安装。

sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap
sudo pip安装pygeoip通过将MaxMind数据文件（GeoIP.dat，GeoIPv6.dat，GeoIPASNum.dat，GeoIPASNumv6.dat）移动到<install-location> / share / GeoIP /来配置pygeoip

运行make。这将构建Dshell。

运行./dshell。这是Dshell。如果你得到一个Dshell>提示符，你很高兴！

下载地址：https://github.com/USArmyResearchLab/Dshell