Comment puis-je décompresser les données gzip capturées par Wireshark?


2

J'ai un fichier de capture Wireshark avec une requête HTTP, cependant, la requête est gzippée.

Ma question est la suivante: comment puis-je décompresser le fichier afin de voir quelles données ont été transférées en texte clair?

Le fichier de capture est ici si quelqu'un est intéressé: http://datanethost.net/superuser/log.cap

Pour les esprits curieux, il est une demande de malware, mais je suis curieux de voir de quoi il parlait. Je sais à qui il «parlait», je ne sais pas quoi.

Réponses:


2

D'après ce que je peux comprendre, les paquets TCP des trames 78 à 89 semblent être crypté , Tor communication .

C'est assez courant pour les logiciels malveillants qui ne veulent pas que vous sachiez ce qu'ils appellent la «maison» (qui est presque tous les logiciels malveillants).


1
C’est intéressant, car à chaque redémarrage, il semble qu’il essaie de communiquer avec muza-flowers.biz, pas avec un hôte aléatoire comme le projet Tor le tente. C'est VRAIMENT étrange, car dans l'en-tête HTTP, l'hôte est muza-flowers.biz, mais l'adresse IP avec laquelle il communique n'est pas l'enregistrement A pour muza-flowers.biz.
Natalie Adams
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.