O tcpxtract é uma ferramenta para extrair arquivos do tráfego de rede (arquivos .pcap ou .cap) com base em assinaturas de arquivos. A extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (às vezes chamada de “escultura”) é uma técnica antiga de recuperação de dados. Ferramentas como o Foremost empregam essa técnica para recuperar arquivos de fluxos de dados arbitrários. O tcpxtract usa essa técnica especificamente para a aplicação de interceptação de arquivos transmitidos por uma rede.
Outras ferramentas que preenchem uma necessidade semelhante são driftnet e EtherPEG. O driftnet e EtherPEG são ferramentas para monitorar e extrair arquivos gráficos em uma rede e são comumente usados por administradores de rede para policiar a atividade de internet de seus usuários. As principais limitações do driftnet e do EtherPEG é que eles suportam apenas três tipos de arquivos, sem uma maneira fácil de adicionar mais. A técnica de pesquisa que eles usam também não é escalonável e não pesquisa nas fronteiras de pacotes.
O tcpxtract apresenta o seguinte:
- Suporta 26 formatos de arquivos populares prontos para o uso. Novos formatos podem ser adicionados simplesmente editando seu arquivo de configuração.
- Com uma conversão rápida, você pode usar seu antigo arquivo de configuração do Foremost com o tcpxtract.
- Algoritmo de pesquisa personalizado por escrito é muito rápido e muito escalável.
- O algoritmo de busca pesquisa entre limites de pacotes para cobertura total e qualidade forense.
- Usa libpcap, uma biblioteca popular, portátil e estável para captura de dados de rede.
- Pode ser usado contra uma rede ativa ou um arquivo de captura formatado pelo tcpdump.
Para instalar em Debian Like é somente:
sudo apt-get install tcpxtract
Como usar:
tcpxtract -f arquivo.pcap -o nomedapasta
Se ao invés de uma captura já feita você quiser extrair arquivos “ao vivo” de uma placa de rede o comando ficaria assim:
tcpxtract -i eth0 -o pastadosarquivos/
