Wireshark + libemu for shellcode detection のバックアップ(No.1)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
Wireshark + libemu for shellcode detection へ行く。
- 1 (2009-12-06 12:36:53 (日))
- 2 (2009-12-06 13:45:13 (日))
- 3 (2009-12-07 12:11:53 (月))
- 4 (2012-10-18 17:24:43 (木))
- 5 (2012-10-19 11:53:07 (金))
- 6 (2012-10-19 11:58:27 (金))
- 7 (2012-10-31 12:29:53 (水))
- 8 (2012-10-31 12:40:34 (水))
- 9 (2013-02-13 14:56:27 (水))
- 10 (2013-06-27 18:37:05 (木))

libemuによるシェルコード検知機能を追加したWiresharkを試験的にGPLで公開しています。

主な機能 †

パケットヘッダーペインで怪しいデータを選択し、右クリックメニューから「Detect a shellcode」を選択すると、シェルコードが見つかった場合、それをお知らせするダイアログボックスが表示されます。バイトコードペインに、シェルコードに該当する部分がハイライトされます。見つからなかった場合は、ハイライトされません。

↑

利用したソース †

Wireshark 1.3.3 SVN revision 31147

↑

利用したlibemu †

libemu 0.2.0 SVN revision 2151

↑

コンパイルおよび動作実績 †

Debian GNU/Linux Lenny
Debian GNU/Linux Squeeze 2009/12/04

↑

コンパイルの手順 †

圧縮ファイルを展開する
```
$ tar xvzf wl-0.0.0.tgz
```
aclocal.m4などconfigureファイルに必要なファイルを生成する
```
$ ./autogen.sh
```
Makefileを作成する（ヘッダファイルとライブラリのパスは環境に合わせて変更してください）
```
$ ./configure --enable-emu \
  --with-emu-include=/opt/libemu/include \
  --with-emu-lib=/opt/libemu/lib/libemu
```
wiresharkをビルドする
```
$ make
```

↑

使い方 †

Wiresharkを起動する
```
$ ./wireshark
```
ネットワークトラフィックを記録する
(記録を停止する)
パケットリストペインから怪しいパケットを選択する
パケットヘッダーペインから怪しいフィールドを選択する
#ref(): File not found: "select.png" at page "Wireshark + libemu for shellcode detection"
そのフィールドで右クリックし、「Detect a shellcode」を選択する
#ref(): File not found: "menu.png" at page "Wireshark + libemu for shellcode detection"
シェルコードが見つかったら、ダイアログでシェルコードの場所（オフセット)を表示するとともに、バイト表示ペインにシェルコードのバイトコードがハイライトされる
#ref(): File not found: "detected.png" at page "Wireshark + libemu for shellcode detection"
シェルコードがみつからなかったら、ダイアログで「Not found a shellcode」と表示される
#ref(): File not found: "notdetected.png" at page "Wireshark + libemu for shellcode detection"

↑