troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

暗号化された SMB 通信を、複合した状態でキャプチャーする Windows の標準コマンド

概要
暗号化された SMB 通信を複合した状態でキャプチャーできる Windows の標準コマンドを紹介します。

内容
暗号化されている SMB 通信をキャプチャーすると

暗号化されている SMB 通信を Wireshark でキャプチャーすると「Encrypted SMB3」と表示され、内容が確認できません。


暗号化されている SMB 通信を複合した状態でキャプチャーする方法
1. SMB のクライアントマシンで、管理者権限のコマンドプロンプトで以下のコマンドを実行し、キャプチャーを開始します。
netsh trace start provider=Microsoft-Windows-SMBClient


2. 暗号化された SMB 通信を行います。

3. 管理者権限のコマンドプロンプトで、以下のコマンドを実行し、キャプチャーを終了します。
netsh trace stop
「ファイルの場所」に .etl ファイルが出来上がります。



キャプチャーしたファイルを解析する方法
1. 上記 4 で作成された .etl ファイルを、Message Analyzer で開きます。
Message Analyzer は、.etl ファイルを作成したマシン上で実行する必要はありません。

2. 見やすさのため「Layout」->「SMB Flat」を選択し、SMB 調査用のビューにします。


3. ここでは SMB の read を見るため、フィルターに「*Summary contains “ReadResponse”」と入れて「Apply」を実行します。


4. ファイル名「test.txt」が、「Status:  Success」より正常に読み込まれたことがわかり、text.txt の内容が「This is a test」であることがわかります。


情報元
SMB 3.1.1 Encryption and Decryption (with MA) by Obaid Farooqi (英語)

関連記事
暗号化されたSMB 通信を復号した状態でキャプチャーし、SMB 通信の中身を確認する方法復号
  1. 2017/02/14(火) 23:10:55|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<Linux 上の Python プロセスのハングの原因を GDB を用いて調査 | ホーム | ソース解析時に便利な Visual Studio 2017 の新機能 - フォルダーを開く、すべての参照を検索、すべてに移動>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/332-02d0b765
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。