Wireshark en SMB2: extract files – deel 2

Ingezonden door joke.snelders op 16-12-2011 22:42

Dit is het 2e artikel over het extracten van files uit Wireshark capture files.
De capture file smb2_pdf2_06f.pcap bevat de pdf: A tool for capturing SMB files with Wireshark by David Perez & Jose Pico. De grootte van deze file 1.48 MB (1.508.939 bytes). Dit maakt het complexer, maar niet onmogelijk om de pdf te extracten.

Je kunt de files hier downloaden:
• sample file smb2_pdf2_06f.pcap
• WP_SMBPlugin.pdf

Open de file smb2_pdf2_06f.pcap.
Selecteer een packet in de Packet List.
Rechts-klik en selecteer "Follow TCP Stream" in het context menu om de "Follow TCP Stream" dialog box te openen.

Selecteer de conversatie: "10.0.0.11:49208 -> 10.0.0.12:445 (1516006 bytes)"
Selecteer "raw"
Klik "Save As" en sla de file op als pdf2.pdf.
 

Wireshark_Follow_TCP_Stream



Je kunt de file pdf2.pdf openen in een pdf reader, maar niet alles wordt goed weergegeven.

Open de file pdf2.pdf in een hex-editor, bijvoorbeeld HxD, een Freeware Hex Editor en Disk Editor.

Om het begin en het einde van de pdf te vinden kun je gebruik maken van Gary Kessler's File Signatures Table.

Het begin van de pdf herken je aan: %pdf (ASCII).

Ga naar: "Search" | "Find":
Search for: %pdf
Datatype: Text-string
Klik OK
Selecteer alle bytes van het begin van het document tot "%pdf"
Klik Delete
 

HxD_search


Note
Klik "OK", als je deze waarschuwing ziet:
"This operation changes the file-size. Do you want to proceed?"
    png: HxD_pdf2_warning_03.PNG

HxD_warning


Ga opnieuw naar "Search" | "Find":
Search for: %%EOF
Datatype: Text-string
Klik OK

Vergelijk vervolgens de trailer in pdf2.pdf met de 4 verschillende trailers in de File Signatures Table:
0A 25 25 45 4F 46 (.%%EOF)
0A 25 25 45 4F 46 0A (.%%EOF.)
0D 0A 25 25 45 4F 46 0D 0A (..%%EOF..)
0D 25 25 45 4F 46 0D (.%%EOF.)

De juiste trailer is: 0A 25 25 45 4F 46 0A (.%%EOF.)
Selecteer alles na ".%%EOF." tot het einde van het document.
Klik Delete.
 

HxD_edit_pdf


De volgende stap is het verwijderen van de NetBIOS messages en de SMB2 Headers.
Een voorbeeld hiervan zie je in onderstaand screenshot.
 

Wireshark_SMB2


Ga terug naar het document pdf2.pdf in HxD.
Ga naar "Search" | "Find":
Search for: SMB@
Datatype: Text-string
Klik OK
Selecteer de 116 bytes zoals aangegeven in onderstaand screenshot.
Klik Delete
 

HxD_remove_bytes


Klik F3 en herhaal bovenstaande om alle 23 stukjes van 116 bytes te verwijderen.
Slave de wijzigingen op.

Files vergelijken
Open ook de originele file WP_SMBPlugin.pdf in HxD.
Ga naar "Analysis" | "File-compare" | "Compare…"
 

HxD_compare_files



 

BijlageGrootte
WP_SMBPlugin.pdf1.44 MB
smb2_pdf2_06f.pcap1.53 MB

typo

Ingediend door Anonymous op 22-12-2011 10:50.

Hallo Joke,

Bedankt voor dit artikel, wederom zeer interessant.

Echter bij het reproduceren van de handelingen kwam ik een klein foutje tegen.

Je geeft aan:
Ga opnieuw naar "Search" | "Find":
Search for: %%EOF
Datatype: Text-string
Klik OK

Maar bij search for ontbreekt er een punt voor en na %%EOF
Dus eigenlijk moet de zoekterm .%%EOF. zijn.
Ik kwam namelijk niet goed uit met de File Signatures Table.

Vr.gr.
Dennis

Geen typo

Ingediend door Anonymous op 22-12-2011 12:33.

Hallo Dennis,

Er zijn 4 verschillende trailers, maar ze hebben alleen de karakters %%EOF gemeenschappelijk.
Je weet dus niet bij voorbaat, wat de juiste zoekstring is...
Het is dus geen typo.

Je kunt overigens ook zoeken op:
0A 25 25 45 4F 46 0A
Datatype: Hex-values

Bedankt voor de complimenten:)