Pythonフォレンジック-DshellとScapy

DShell

*Dshell* は、Pythonベースのネットワークフォレンジック分析ツールキットです。 このツールキットは、米国陸軍研究所によって開発されました。 このオープンソースツールキットのリリースは2014年でした。 このツールキットの主な焦点は、フォレンジック調査を簡単に行うことです。

ツールキットは、次の表にリストされている多数のデコーダーで構成されています。

米国陸軍研究所は、次のリンクでGitHubのクローンリポジトリを維持しています-

https://github.com/USArmyResearchLab/Dshell

クローンリポジトリ

クローンは、このツールキットのインストールに使用されるスクリプト* install-ubuntu.py（）*で構成されています。

インストールが成功すると、後で使用される実行可能ファイルと依存関係が自動的に構築されます。

依存関係は次のとおりです-

dependencies = {
   "Crypto": "crypto",
   "dpkt": "dpkt",
   "IPy": "ipy",
   "pcap": "pypcap"
}

このツールキットは、通常、インシデント中またはアラート中に記録されるpcap（パケットキャプチャ）ファイルに対して使用できます。 これらのpcapファイルは、LinuxプラットフォームのlibpcapまたはWindowsプラットフォームのWinPcapによって作成されます。

スカピー

Scapyは、ネットワークトラフィックの分析と操作に使用されるPythonベースのツールです。 以下はScapyツールキットのリンクです-

http://www.secdev.org/projects/scapy/

このツールキットは、パケット操作の分析に使用されます。 多数のプロトコルのパケットをデコードしてキャプチャすることができます。 Scapyは、ネットワークトラフィックに関する詳細な説明を調査者に提供する点でDshellツールキットとは異なります。 これらの説明はリアルタイムで記録されています。

Scapyには、サードパーティのツールまたはOSフィンガープリントを使用してプロットする機能があります。

次の例を考えてください。

import scapy, GeoIP #Imports scapy and GeoIP toolkit
from scapy import *
geoIp = GeoIP.new(GeoIP.GEOIP_MEMORY_CACHE) #locates the Geo IP address
def locatePackage(pkg):
src = pkg.getlayer(IP).src #gets source IP address
dst = pkg.getlayer(IP).dst #gets destination IP address
srcCountry = geoIp.country_code_by_addr(src) #gets Country details of source
dstCountry = geoIp.country_code_by_addr(dst) #gets country details of destination
print src+"("+srcCountry+") >> "+dst+"("+dstCountry+")\n"

このスクリプトは、互いに通信しているネットワークパケットで国の詳細の詳細な説明を提供します。

上記のスクリプトは、次の出力を生成します。

DShellおよびScapy出力