В этой статье расскажу, как извлекать вредоносные файлы из сетевых захватов, т.е. как создать свой антивирус. Сетевые захваты являются обычным явлением среди событий безопасности. Вредоносное ПО, присутствующее в любой сети, можно легко извлечь с помощью таких инструментов, как Wireshark. Если у вас много файлов PCAP, как бы их все извлечь? Давайте рассмотрим сценарий для извлечения PE-файлов из pcaps с использованием Python и Scapy. Scapy — это довольно мощная библиотека Python. Менее чем за 200 строк мы можем написать простой парсер для извлечения PE-файлов из HTTP-запросов...

В первой части мы создали простейший вариант сканера локальной сети, однако его вывод значительно отличается от вывода netdiscover. Сейчас мы глубже копнем в модуль scapy и посмотрим в каком виде посылаются ARP-запросы, какие поля данных при этих запросах мы можем использовать. Создаем экземпляр ARP-запроса мы можем получить с помощью метода модуля scapy - scapy.all.ARP(). Применив функцию summary() мы увидим, как выглядит сам ARP-запрос: summary() выводит нам следующее: Т.е. по ARP не форматированный экземпляр спрашивает: «who has 0...