計算機入侵取證:html
計算機取證是運用計算機及其相關科學和技術的原理和方法獲取與計算機相關的證據以證實某個客觀事實的過程。它包括計算機證據的肯定、收集、保護、分析、歸檔以及法庭出示。正則表達式
bro基礎介紹:編程
bro是一款被動的開源流量分析器。它主要用於對鏈路上全部深層次的可疑行爲流量進行安全監控,爲網絡流量分析提供了一個綜合平臺,特別側重於語義安全監控。雖然常常與傳統入侵檢測/預防系統進行比較,但bro採用了徹底不一樣的方法,爲用戶提供了一個靈活的框架,能夠幫助定製,深刻的監控遠遠超出傳統系統的功能。安全
bro的目標在於搜尋攻擊活動並提供其背景信息與使用模式。它可以將網絡中的各設備整理爲可視化圖形、深刻網絡流量當中並檢查網絡數據包;它還提供一套更具通用性的流量分析平臺。網絡
bro在計算機取證方面具備十分有效的做用。它能夠經過pcap包來獲取入侵者留下的痕跡。框架
| Bro | Snort | Wireshark& Tshark | |
|---|---|---|---|
| 優點 | 高級的 異常檢測 |
正則表達式,簽名 | 流量分析
|
| 關注數據 | 鏈接對象, 事件 |
數據包, 數據流 |
協議剖析 |
| 可編程性 | Bro DSL | 不 | 不 |
| 實時或重放 | 兼備 | 兼備 | Pcap重放 |
| 應用層 | 應用層 自動化, 數據動態分發 |
自動化, OpenAppID
|
手動, 解析器 |
https://www.sneakymonkey.net/2017/03/03/pcap-file-extraction/.net