JMoon

이번에는 Wireshark를 이용한 pcap 파일에 포함된 파일을 받는 방법입니다

구버전을 사용할 예정이며 하시는 방법은 http://jmoon1601.tistory.com/14에 가시면 알 수 있습니다.

구버전을 키시면 초록색 상어 등지느러미있는 부분에 Start가 있을 겁니다. 아래부분보면 사용자가 쓰고 있는 것을 선택해서 Start를 누르시면 됩니다. 참 쉽죠

그러면 아래와 같은 창이 켜질텐데 인터넷을 쓰고 있다면 엄청 많은 수가 올라가는 것을 볼 수 있습니다.

저는 처음에 모든 인터넷을 다 끄고 네이버만 켜놓은 상태로 새로고침 몇번하였습니다.

어느정도 됬다 싶으면 좌측상단에 초록색 상어등지느러미 옆에 있는 빨간색 네모버튼을 누릅니다. 

그런다음 좌측상단에 File -> Export Objects -> HTTP 를 누르시면 아래와 같은 창이 뜰겁니다.

우측 하단에 있는 Save As는 선택한 파일만 다운 받으며 Save All은 모든 파일을 다운 받습니다. 이번에 Save All로 다운 받아 보겠습니다.

Save All 누르셔서 폴더를 생성하여 다운을 받으시면 네이버에 떠있던 사진들을 다운 받은 모습을 볼 수 있습니다. 

위와 같은 방법으로 와이어샤크를 통해 pcap파일에 포함된 악성코드를 다운 받을 수도 있습니다. 

악성코드가 포함된 pcap파일을 불러와서 똑같이 하면 되니까요. 

Wireshark란 무엇인가?

Wireshark는 세계에서 가장 널리 쓰이는 네트워크 분석 프로그램입니다. 매우 강력한 이 프로그램은 네트워크상에서 캡쳐한 데이터에 대한 네트워크/상위 레이어 프로토콜의 정보를 제공해줍니다. 다른 네트워크 프로그램처럼, Wireshark는 패킷을 캡쳐하기 위해pcap 네트워트 라이브러리를 사용합니다. 

위키피디아에 들어가면 더욱 더 자세한 설명이 있으므로 참고하시면 됩니다. 

https://ko.wikipedia.org/wiki/%EC%99%80%EC%9D%B4%EC%96%B4%EC%83%A4%ED%81%AC

Wireshark의 강점 

-쉬운 설치

-GUI 인터페이스를 이용한 간단한 사용법

-매우 다양한 기능

Wireshark 설치방법

와이어샤크 설치하는 방법은 어렵지 않습니다. 

다운받은 파일을 실행시킵니다.

그리고 쭉쭉 Next 눌러 주시면 됩니다. 

눌러주시면 

이런 창이 2번 뜰텐데 설치가 안되어있다고하면 Install부분에 체크하여 설치해줍니다. 그리고 Next 쭉 눌러주시고

Install하시면 됩니다. 정말 쉽죠?

다 설치하시고 실행을 시켜보면 다음과 같은 창이 뜰겁니다.

최근패치로 전에 쓰던 와이어샤크와 조금 달라 졌습니다. 신버전과 구버전 차이는 신버전에서 구버전에 있던 필요없던 기능등을 뺐거나 숨겼다고 하는데 자세한것은 따로 찾아보시면 되겠습니다. 

구버전을 쓰고 싶으신 분들은 와이어샤크 설치 경로로 가시면 

Wireshark-gtk.exe라는 파일을 실행시키시면 구버전이 열립니다. 

또다른 방법으로 wireshark Legecy를 검색하셔서 실행시켜도 됩니다.