網(wǎng)絡(luò)取證工具通常是安全研究專家用來測試目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全性的特殊工具，今天我們給大家介紹的正是這樣的一種工具。該工具名叫PcapXray，它帶有非常強大的GUI界面，并且能夠幫助我們離線分析捕獲到的數(shù)據(jù)包。

該工具不僅能夠掃描出目標(biāo)網(wǎng)絡(luò)內(nèi)的所有主機、網(wǎng)絡(luò)通信流量、以高亮的形式標(biāo)注重要流量和Tor流量，而且還能夠識別和掃描出潛在的惡意流量。
該工具包含了以下組件：
1. 網(wǎng)絡(luò)圖表
2. 設(shè)備/流量細(xì)節(jié)和分析
3. 惡意流量識別
4. Tor流量
5. GUI-用戶可使用GUI及相關(guān)參數(shù)選項來上傳pcap文件
網(wǎng)絡(luò)取證工具使用
該數(shù)據(jù)包捕捉工具可以直接從GitHub上獲取，研究人員可以利用該工具所提供的信息進(jìn)行目標(biāo)初始調(diào)查。
項目地址：【GitHub傳送門】
安裝和使用命令
git clone https://github.com/Srinivas11789/PcapXray.git
cd PcapXray
python Source/main.py

運行命令之后，會啟動圖形化的用戶接口，并詢問用戶上傳pcap文件。


比如說，我們這里上傳了一個跟Netflix釣魚活動相關(guān)的pcap文件，在這款工具的幫助下，我們可以提取出Web流量、Tor流量、惡意流量和其他類型的流量。
分析的過程需要花掉一點時間，分析完成之后，我們將能夠得到目標(biāo)通信流量、設(shè)備和數(shù)據(jù)包的詳細(xì)分析報告。



分析提取出的目標(biāo)URL地址為一個Netflix釣魚頁面。


目標(biāo)IP地址為98[.]209[.]70[.]101，不過在我們分析的時候這個IP地址已經(jīng)無法成功解析了。
除此之外，該工具還包含了下列Python庫：
Scapy：爬取pcap文件中的數(shù)據(jù)包信息；
Ipwhois：用于獲取whois信息中的IP地址；
Netaddr：Python網(wǎng)絡(luò)編程庫；
Pillow：Python圖形處理模塊；
Stem：一款與Tor網(wǎng)絡(luò)進(jìn)行交互的Python控制器；
pyGraphviz：一個用于可視化查看數(shù)據(jù)包的Python接口；
Networkx：Python復(fù)雜網(wǎng)絡(luò)分析庫；
Matplotlib：一款Python 2D繪圖庫；