Fireshark installieren und verwenden

Wollten Sie schon immer Ihren Browser auf eine bekannte oder vermutete mit Malware infizierte Site richten, um deren Funktionsweise zu erfassen und zu analysieren? Und das ohne zu bezahlen oder eine Lösung zu schreiben? Eine neue Open Source Firefox-Erweiterung macht dies jetzt möglich.

Was ist Feuerhai?

Fireshark besteht aus einer Firefox-Erweiterung und einer Reihe von Skripten. Die in Perl geschriebenen Skripte helfen bei der Analyse der Ausgabedateien von Fireshark.

Durch Ausführen der Erweiterung wird eine Reihe von Dateien erstellt, die alles enthalten, was Sie über eine Zielseite wissen möchten. Die Dateien enthalten:

  • HTML-Quelle
  • Bilder
  • Skripte, die beim Öffnen einer Seite ausgeführt wurden
  • Analyse, was eine Seite auf Ihrer Testbox getan hat
Fertig machen

Die Installation von Fireshark ist einfach, sobald Sie einige Probleme gelöst haben. Das einzige Problem, das ich mit diesem Produkt habe, ist die fehlende Dokumentation. Die Dokumentation wurde im April versprochen, ist aber immer noch nicht erschienen. Meine Installationsprobleme erforderten daher eine Google-Suche und ein wenig Surfen im Forum.

Ich habe zunächst eine Testumgebung erstellt. Da ich wollte, dass Fireshark all die schlechten Dinge sieht und all die Schmerzen erfährt, die von den Zielseiten verursacht werden, habe ich die VirtualBox von Oracle verwendet, um eine virtuelle Unbuntu Linux-Maschine (VM) zu erstellen. Die VM war frei von Anti-Malware-Software. Ich habe auch meine OpenDNS-Einstellungen neu konfiguriert, damit die DNS-Filterung den Zugriff auf die Zielwebsites nicht verhindert.

Für die Aufzeichnung läuft Fireshark auch in Windows. Ich habe es auch mit Windows 7 getestet, das in einer VMware-VM ausgeführt wird.

Die Installation der Fireshark-Erweiterung war einfach. Ich öffnete Firefox, navigierte zu Fireshark.org und klickte auf den Download-Link. Ein Reset von Firefox war erforderlich.

Ich war fast fertig. Der letzte Schritt bestand darin, Fireshark eine Liste der Zielstandorte zur Verfügung zu stellen. Ich habe eine Liste potenziell schädlicher Websites (siehe Abbildung 1 ) in einer Textdatei (data.txt) erstellt. Auf meiner Linux-VM habe ich die Datei in meinem Benutzer-Home-Verzeichnis / home / tolzak abgelegt . (In Windows 7 musste ich die Datei in \ users \ Tom Olzak ablegen .) Ich habe dieselbe Liste von Dateien sowohl für den Linux- als auch für den Windows-Test verwendet. Wenn Sie die data.txt-Dateien nicht in Ihrem Benutzer-Ausgangsverzeichnis ablegen, kann Fileshark sie nicht finden. Abbildung 1: Data.txt aus Windows 7 Test
Klicken um zu vergrößern.

Fireshark ausführen

Ich war jetzt bereit. Ich habe Fireshark ausgeführt, indem ich Firefox geladen und auf Los! im Menü Extras (siehe Abbildung 2 ). Alles, was ich dann tun musste, war zu sitzen und zu beobachten, wie Firefox jede in data.txt aufgeführte Site öffnet. Eine Einschränkung ... Wenn Sie alle Seiten einer Site anzeigen möchten, müssen Sie möglicherweise alle Seiten-URLs eingeben. Ich konnte keine Möglichkeit finden, Fireshark in eine Zielstelle zu bohren. Abbildung 2: Starten von Fireshark Sobald die Liste der Zieldateien erschöpft war, wartete in meinem Home-Verzeichnis eine lange Liste von Ausgabedateien auf mich. Siehe Abbildung 3 . Die Dateien mit Namen, die mit "dom" beginnen, enthalten den HTML-Code für jede Zielseite. Diejenigen, die mit "src" beginnen, enthalten Skripte, die beim Öffnen der Seite versucht wurden oder ausgeführt wurden. Die Datei "reportlog.yml" ist eine Schnittstellendatei. Dies soll Entwicklern zur Verwendung in anderen Analyseanwendungen zur Verfügung gestellt werden. Die "img" -Dateien enthalten Bilder der Zielseiten. Abbildung 3: Fireshark-Ausgabe unter Linux Schließlich verfolgt "reportlog.txt" Aktivitäten während des Seitenzugriffs. Abbildung 4 zeigt ein Beispiel für den Inhalt. Abbildung 5 zeigt den Inhalt von reportlog.yml. Zur Analyse des Ausgabeprotokolls stellt Fireshark.org drei Perl-Skripte zur Verfügung. Die Skripte werden separat von der Erweiterung heruntergeladen und erfordern YAML. Abbildung 4: Inhalt von Reportlog.txt
Klicken um zu vergrößern.
Abbildung 5: Inhalt von Reportlog.yml
Klicken um zu vergrößern.
Das letzte Wort

Dies scheint ein großartiges Produkt für alle zu sein, die eine bestimmte Seite analysieren oder einen Honeypot aus einer Reihe bekannter schädlicher Websites füllen möchten. Fireshark ist nicht für jemanden gedacht, der nur mit einem coolen Analysewerkzeug in seinem Primärsystem "herumspielen" möchte. Sie wissen, die saubere für sensible Alltagsaufgaben.

Stellen Sie vor der Verwendung von Fireshark sicher, dass alle Schutzfunktionen für Ihre Testplattform oder VM deaktiviert sind, einschließlich aller Sicherheitsfunktionen in Firefox. Während des ersten Testlaufs blockierte Firefox mehrmals Popups und andere Aktivitäten, die als unsicher eingestuft wurden. Dies macht den Zweck der Ausführung dieses Dienstprogramms zunichte.

Schließlich wünschte ich mir, das Produkt hätte mir etwas mehr Kontrolle darüber gegeben, wo ich die Ausgabedateien platzieren kann.

© Copyright 2021 | pepebotifarra.com