项目地址

https://github.com/0xThiebaut/PCAPeek

PCAPeek

PCAPeek是一个用于反向VNC流量的概念验证重组工具，例如IcedID和Qakbot的VNC后门。

请注意，作为概念验证，PCAPeek不提供向后兼容性的保证，并且未来可能会修改以支持其他协议。

安装

该工具依赖于Npcap进行PCAP解析，如果您已经安装了WireShark，那么您可能已经安装了它。

要使用Go编程语言下载并构建此工具，只需执行以下命令...

go install github.com/0xThiebaut/PCAPeek@latest

使用方法

要使用PCAPeek，使用--help标志。

PCAPeek --help
cssCopy codePCAPeek是一个查看PCAP文件的工具。除了作为重建反向VNC流量的概念验证之外，并没有太多其他功能。

用法：
  PCAPeek PCAP [PCAP ...] [flags]

标志：
      --files               输出剪贴板文件
      --files-dir string    剪贴板文件的输出目录（默认为"./"）
      --filter string       在PCAP文件上应用的BPF过滤器
  -h, --help                PCAPeek的帮助
      --jpeg                输出JPEG帧
      --jpeg-dir string     JPEG帧的输出目录（默认为"./"）
      --jpeg-fps int        每秒输出的JPEG帧数（默认为0，输出所有帧）
      --jpeg-quality int    JPEG帧的质量百分比（默认为100）
      --mjpeg               输出MJPEG视频
      --mjpeg-dir string    MJPEG视频的输出目录（默认为"./"）
      --mjpeg-fps int       每秒输出的MJPEG帧数（默认为10）
      --mjpeg-quality int   MJPEG视频的质量百分比（默认为100）

致谢

特别感谢Brad Duncan（Malware-Traffic-Analysis.net）和Erik Hjelmvik（NETRESEC）对IcedID及其BackConnect协议进行的广泛研究。

标签：工具分享, 思路分享, 学习笔记