logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Comment ça marche ? >> Décodez avec Wireshark Newtopic | Reply
poster txt
Morgomir54
Inscrit le 22-05-2009
Avatar
Posté le 22-06-2011 12:30

Voici un tutorial tout simple montrant comment décoder le trafic capturé par Wireshark. Bien évidemment, il existe plusieurs outils Back Track permettant d’analyser et de décoder le trafic, mais je pense qu’il est préférable qu’on sache comment ces outils procèdent afin de comprendre et éventuellement écrire des scripts et des programmes automatisant cette méthode wink

On va prendre comme exemple une image JPEG.

Ouvrons Wireshark et analysons les requêtes de notre navigateur qui va chercher une image sur le web.
On peut maintenant stopper la capture et plaçons un filtre http. On remarque des paquets qui comportent des expressions de type JPEG JFIF image ou pour faire simple, allez dans la barre de menus :

File--> Export--> Objects-->HTTP

Et là vous avez une liste des requêtes http et dans la liste Content Type cliquez sur image/jpeg, la fenêtre principale de Wireshark répercute le clic directement sur le paquet correspondant avec une couleur bleue, comme ceci :



Appliquez maintenant un clic droit sur ce paquet et sélectionnez Follow TCP Stream, une nouvelle fenêtre s’ouvre comme ceci :



Tout en bas à droit, sélectionnez Raw il y est par défaut, puis à gauche appuyez sur Save As enregistrez et donner un nom à ce nouveau fichier.
Prenons maintenant un éditeur hexadécimal et ouvrez ce fichier. Allez dans Recherche situé dans la barre de menus, puis Rechercher du texte hexadécimal, cela dépend des différents éditeurs hexadécimaux, et dans le champ mettez ce code --> FFD8FF et appuyez sur ok. L’éditeur va nous sélectionner ce code dans la partie hexadécimale de la page, comme ceci :



On voit bien que ce code hexadécimal FFD8FF correspond à ŸØŸ en ASCII, en fait, ce code permet d’identifier un fichier d’extension JPEG, c’est ainsi que les logiciels et les OS identifient ces fichiers, et tous les fichiers connus ont un code d’identification.

Une dernière étape reste à supprimer tous les caractères hexadécimaux qui sont placés avant FFD8FF jusqu’à la première ligne de l’offset (ce sont des informations de capture que Wireshark a introduit) en les sélectionnant et ensuite on efface, dans l’exemple ci-dessous on commence donc avec le caractère A0 :



Le code hexadécimal FFD8FF doit commencer à partir de l’offset 00000000.

Il reste maintenant qu’à enregistrer ce fichier en lui donnant comme extension JPG, et surprise ! l’image apparaît.

Le fichier JPEG n’est qu’un exemple, on peut extraire et décoder toutes les informations de capture, image, son, vidéo, page web, ….etc. Voici le site dans lequel vous trouvez tous les fichiers usuels avec leur code d’identification

http://www.filetext.com/




_________________________
Celui qui sait connaît. Celui qui ne sait pas ne connaîtra jamais

[ Ce Message a été édité par: Morgomir54 le 2011-06-22 12:32 ]
profil | edit | quote
Newtopic | Reply

Online : axabaziweqe, elahugvofi, exararuza, ezomosakuni, ogusadeuwiqgo, RockoOt, Thomassi et 53 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page