tcpxtract Linux/UNIX sistemlerde data carving amaclı kullanılan açık kod bir yazılımdır. Daha çok adli bilişim analiz çalışmalarında kullanılır. Bu yazılımı ağ üzerinde tüm trafiği görecek şekilde konumlandırılıp(SPAN portu, TAP cihazı kullanarak ) trafik içerisinde geçen dosyaların orjinal hallerini diske kaydedebilirsiniz. Mesela şirket ağından dışarıya gönderilen ofis dosyaları, internetten indirilen resim, muzik ve görsel medyaların bir kopyasını almak için tcpxtract kullanılabilir.
Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir.
Tcpxtract ile akan trafikten veri ayıklama
parametre olarak trafiğin geçtiği arabirim verilirse o arabiri üzerinden geçen ve konfigurasyon dosyasında belirtilen tüm dosyalar diske kaydedilir.
# tcpxtract -d eth0
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.2.1.13:7111], exporting to 00000000.pdf
Tcpdump ile kaydedilmis trafik uzerinden veri ayıklama
# tcpdump -i eth0 -s0 tcp port 80 -w file
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C634 packets captured
634 packets received by filter
0 packets dropped by kernel
tcpdump ile kaydedilen paketler tcpxtract’a parametre olarak verilirse içeriğinden istenen dosyalar ayıklanabilir
# tcpxtract -f file
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.200.169.163:2979], exporting to 00000000.pdf
Detay bilgi almak ve bu yazılımı denemek isterseniz http://tcpxtract.sourceforge.net/ adresi işinizi görecektir.
tcpxtract deyince aklıma chaosreader[1] geldi.
[1]http://chaosreader.sourceforge.net/