開源網絡取證工具Xplico

摘要：

Xplico的目標是提取互聯網流量并捕獲應用數據中包含的信息。

舉個例子，Xplico可以在pcap文件中提取郵件內容（通過POP，IMAP，SMTP協議），所有的HTTP內容，每個VoIP的訪問 （SIP），FTP，TFTP等等，但是Xplico不是一個網絡協議分析工具。Xplico是一個開源的網絡取證分析工具（NFAT）。

特征：

協議支持：HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, … ；
針對每個應用協議都有端口獨立協議識別（PIPI）；
多線程；
支持使用SQLite數據庫或者Mysql數據庫甚至文件進行數據和信息的輸出；
每個數據都由Xplico重新組裝，并被關聯到能夠唯一識別流量的XML文件。Pcap包含重組數據；
支持實時查詢細節（能否真的實現取決于流量大小、協議類型和計算機性能-TAM, CPU, HD訪問時間等...）；
為任何數據包和soft ACK認證使用ACK確認進行TCP重組；
反向DNS查找是查找包含在輸入文件（pcap）中的DNS數據包，而不是查找來自外部的DNS服務器；
對輸入數據的大小或者輸入文件的數量沒有限制（僅僅限制了HD的大小）；
支持IPv4和IPv6；
模塊化。每個Xplico部件都是一個模塊。輸入接口、協議解碼器、輸出接口都實現了模塊化；
輕松創建任何調度，使用最合適、最有效的方法實現數據分離。

下載地址

*原文： Kitp FB小編FireFrank編譯，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）