Forensic No comments

Simplifiez vos études de capture avec Xplico.

Xplico est un petit tools orienté Forensic, qui permet de synthétiser une capture réseau. Finit les lignes atroces de Wireshark et leurs infos sans queue ni tête ! Finit ? Et bien pas vraiment .. Voyons pourquoi !

Pour télécharger Xplico, deux choix, comme moi vous avez un Netbook parfait qui était déjà tout prêt a recevoir ce tools, ou alors vous avez quelques petites manipulations a faire :

Installation : 

Récupérez la derniere version sur le site officiel.
Installez le paquet : dpkg -i <NomDuPaquet>

Installer le Serveur Web Apache :

sudo install  apache2 mysql-server php5 php5-sqlite
sudo a2enmod rewrite
sudo cp /opt/xplico/cfg/apache_xi /etc/apache2/sites-enabled/xplico
sudo apache2ctl restart
Il faut ensuite modifier la taille maximale des fichiers que le serveur PHP accepte en upload.
Le fichier à éditer est : /etc/php5/apache2/php.ini
Les lignes suivantes sont a changer : post_max_size , upload_max_filesize.
A vous de mettre une taille assez importante, si vous travaillez souvent avec des fichiers .cap ou .pcap vous connaissez la grande taille de ses fichiers lorsque l’écoute dure longtemps. Une fois changé n’oubliez pas de relancer apache2ctl.
Voici les petites commandes nécessaires pour l’installation d’Xplico.
Pour le lancer : /etc/init.d/xplico start 
Une fois lancé rendez vous sur http://localhost:9876

Première utilisation du tools :

Maintenant que vous avez le tools d’installé, il est temps de commencer a l’utiliser.
Par défaut les logs sont : User = xplico ; Pass = xplico

Une fois loggé vous arrivez sur l’interface des cas. C’est un peu votre projet. Soit vous en avez deja créé un soit vous cliquez sur Nouveau cas vous remplissez le formulaire et votre cas est créé. Cliquez sur le nom que vous avez donné. Vous devez ensuite créer une session, pareil juste en remplissant le champ nom.
Pour finir cliquez juste sur le nom de session que vous avez donné.
Vous arrivez maintenant sur cette interface :

C’est votre tableau de bord. Il vous faut uploader votre fichier .cap, puis xplico va démarrer l’analyse du fichier. Et vous afficher le résultat sur ce meme tableau de bord.

Voici donc le résumé de l’analyse des paquets. Vous pouvez ensuite regarder ceci plus en détails dans le menu de gauche. Vous pourrez y retrouver les conversations IRC, Facebook.. Voir les fichiers transférés par FTP, les emails, sites visités ..

Et Wireshark dans tout ça ?

C’est vrai que quand on vois tout ce dont Xplico est capable on peut se demander si Wireshark est finit.
L’interface graphique, l’accessibilité des informations est vraiment très intéressant. Xplico nous dessine de beaux graphiques, de jolis chiffres les informations sont bien présentés. Mais le soucis c’est que tant de simplicité ne peut pas être aussi complète qu’un Wireshark. Ce dernier nous montre les informations en brut, mais au moins on sait ce qu’elles représentent. Xplico est  donc comme un complément a Wireshark pour la présentation des donnés. Mais pour leur exploitation pure Xplico n’est pas vraiment adapté.
En conclusion ce tools est très bien pour présenter les résultats d’une analyse. Mais pour une vrai analyse bien profonde préférez un bon vieux Wireshark.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *