NetworkMiner là một công cụ đánh hơi mạng, nhưng chủ yếu nhằm mục đích trích xuất dữ liệu có thể quan trọng cho việc điều tra pháp y.
[download_file]Có nhiều gói khác nhau – cũng miễn phí – cho phép bạn khai thác tất cả các loại thông tin từ các hệ thống đang hoạt động hoặc không hoạt động, chẳng hạn như trong bối cảnh điều tra pháp y. NetworkMiner chỉ là một công cụ pháp y nhưng tập trung vào lưu lượng mạng.
NetworkMiner về cơ bản là một công cụ đánh hơi mạng, nhưng có một điểm đặc biệt: mục đích chính của nó là tìm ra tất cả các loại thông tin trong lưu lượng truy cập mạng, chẳng hạn như hệ điều hành được sử dụng, tên máy chủ, cổng mở, v.v. Hoặc, như chính các nhà sản xuất mô tả về công cụ này : Công cụ phân tích pháp y mạng (NFAT).
Là một công cụ pháp y phù hợp, nó là một công cụ đánh hơi ‘thụ động’, có nghĩa là bản thân chương trình không đưa bất kỳ dữ liệu nào lên mạng, do đó môi trường vẫn ‘sạch’ cho các cuộc điều tra pháp y.
Nhân tiện, NetworkMiner cũng có thể phân tích cú pháp các tệp Pcap từ các trình thám thính mạng khác – phiên bản Chuyên nghiệp trả phí cũng có thể xử lý các tệp PcapNG mới hơn (nhưng có các trình chuyển đổi miễn phí chuyển đổi PcapNG sang định dạng Pcap). Cũng có thể nhận các tệp Pcap qua ổ cắm TCP. Điều này có thể được thực hiện, chẳng hạn như bằng cách chuyển các tệp pcap đó đến đúng PC bằng Netcat. Chính xác thì bạn tiếp cận điều này như thế nào đọc ở đây.
Khi bạn khởi động chương trình và muốn nhận dữ liệu ‘trực tiếp’ từ mạng, về mặt logic, trước tiên bạn phải chọn bộ điều hợp mạng mong muốn, sau đó bạn có thể thu thập dữ liệu. Tất cả dữ liệu tìm thấy sau đó được chia thành nhiều tab khác nhau, bao gồm Máy chủ, Khung, Tệp, Hình ảnh, Phiên, DNS, Cleartext, v.v.
Trên tab Máy chủ, bạn sẽ tìm thấy thông tin tổng quan về tất cả các máy chủ liên quan đến lưu lượng mạng được truy xuất, cả trong và ngoài mạng LAN của riêng bạn. Bạn có thể sắp xếp danh sách máy chủ này theo nhiều cách, bao gồm theo thứ tự bảng chữ cái, theo địa chỉ IP, địa chỉ MAC, số gói hoặc byte được gửi hoặc nhận, v.v.
Trên tab Khung, bạn sẽ tìm thấy tổng quan theo trình tự thời gian của các khung dữ liệu, bao gồm IP và cổng nguồn và đích. Tuy nhiên, đừng mong đợi một phân tích giao thức ở đây như bạn thấy với Wireshark phổ biến chẳng hạn. Tab Cleartext hiển thị dữ liệu được gửi qua mạng ở ‘dạng có thể đọc được’, nhưng ở đây chúng tôi thiếu chức năng tìm kiếm tích hợp.
NetworkMiner, giống như tất cả các trình thám thính mạng, dành cho người dùng nâng cao biết cách diễn giải chính xác dữ liệu đã thu thập. Một mặt, cách trình bày dữ liệu giúp các nhà điều tra pháp y dễ dàng hơn, nhưng mặt khác, chương trình gần như không linh hoạt hoặc chi tiết như Wireshark.
