计算机入侵取证:html
计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证实某个客观事实的过程。它包括计算机证据的肯定、收集、保护、分析、归档以及法庭出示。正则表达式
bro基础介绍:编程
bro是一款被动的开源流量分析器。它主要用于对链路上全部深层次的可疑行为流量进行安全监控,为网络流量分析提供了一个综合平台,特别侧重于语义安全监控。虽然常常与传统入侵检测/预防系统进行比较,但bro采用了彻底不一样的方法,为用户提供了一个灵活的框架,能够帮助定制,深刻的监控远远超出传统系统的功能。安全
bro的目标在于搜寻攻击活动并提供其背景信息与使用模式。它可以将网络中的各设备整理为可视化图形、深刻网络流量当中并检查网络数据包;它还提供一套更具通用性的流量分析平台。网络
bro在计算机取证方面具备十分有效的做用。它能够经过pcap包来获取入侵者留下的痕迹。框架
| Bro | Snort | Wireshark& Tshark | |
|---|---|---|---|
| 优点 | 高级的 异常检测 |
正则表达式,签名 | 流量分析
|
| 关注数据 | 链接对象, 事件 |
数据包, 数据流 |
协议剖析 |
| 可编程性 | Bro DSL | 不 | 不 |
| 实时或重放 | 兼备 | 兼备 | Pcap重放 |
| 应用层 | 应用层 自动化, 数据动态分发 |
自动化, OpenAppID
|
手动, 解析器 |
https://www.sneakymonkey.net/2017/03/03/pcap-file-extraction/.net