Ook dit is een handige functie in wireshark: Configuratie Profielen.
In dit artikel geef ik een toelichting op het gebruik van Configuratie Profielen in Wireshark. Een pluspunt is ook, dat je de profielen gemakkelijk kunt uitwisselen met collega's. Om dit te illustreren heb ik een preferences file en capture file geupload. Volg de instructie en de capture file wordt bij het openen meteen gedecrypt.

Dit is het 2e artikel over het extracten van files uit Wireshark capture files.
De capture file smb2_pdf2_06f.pcap bevat de pdf: A tool for capturing SMB files with Wireshark by David Perez & Jose Pico. De grootte van deze file 1.48 MB (1.508.939 bytes). Dit maakt het complexer, maar niet onmogelijk om de pdf te extracten.

Je kunt de files hier downloaden:
• sample file smb2_pdf2_06f.pcap
• WP_SMBPlugin.pdf

Wireshark heeft geen optie om met één druk op de knop SMB2 objects te exporteren, maar de files zijn wel opgeslagen in de capture file. Je kunt de files echter wel uit de capture file halen. In dit artikel laat ik zien, hoe je kleine files, een PDF en een exe, uit een Wireshark capture file kunt halen.

PDF
De capture file smb2-pdf_02.pcap bevat de file willhackforsushi.com_80211_Pocket_Reference_Guide.pdf van de website Will Hack For Sushi.
Je kunt de files hier downloaden:

Je kunt met Wireshark SMB Objects exporteren.
Deze functie is geïmplementeerd in Wireshark vanaf release 1.6.0.

Je kunt hier de laatste releases, Stable en Development, van Wireshark downloaden.

De file, export-objects-smb_01.pcap, die ik in dit artikel gebruik, kun je hier downloaden.

SplitCap is een open source tooltje, waarmee je capture files kunt splitsen.
De capture files worden gesplitst op basis van udp en tcp sessies. De packets worden gegroepeerd op basis van source IP addres, source port, destination IP address, destination port en transport protocol (TCP or UDP).
Standaard wordt er één output file per sessie gegenereerd. Bij capture files, die veel sessies bevatten, worden dan ook veel output files aangemaakt. Je kunt dan eerst TShark, onderdeel van de Wireshark distribution, gebruiken om een overzicht te maken van de aanwezige tcp en udp sessies. Je kunt vervolgens kiezen, welke sessies belangrijk zijn en alleen die sessies naar een aparte output file wegschrijven.

PDD is een open-source tooltje en is ontwikkeld door Srivats.
Je kunt met PDD een hexdump decoderen en de packet details bekijken. Je kunt de hexdump ook converteren naar een capture, text of xml file. De capture file kun je openen in Wireshark.

Ostinato is tooltje, waarmee je netwerkverkeer kunt genereren.
Het open-source programma is ontwikkeld door Srivats en je kunt het draaien op Windows, BSD, Mac OS X en verschillende Linux distros.

BgInfo, van Bryce Cogswell, is een gratis tooltje en is onderdeel van Microsoft Sysinternals Suite.

Met het tooltje BgInfo kun je nuttige informatie, zoals Boot Time, IP adres en Host Name op het bureaublad weergeven. Dit is handig als je veel computers en virtual machines beheert.

Heb je ooit 350 Happy Sharks ontmoet?

Nee?

Dan was je zeker niet op Sharkfest'11!

Wireshark devotees van over de hele wereld zijn in de week van 13 juni samengekomen op de campus van Stanford University in Californië om het 4de jaarlijkse Sharkfest bij te wonen.
Met dank aan de Sharkfest Coordinating Crew kan de Wireshark community terugkijken op een geslaagd evenement.