troushoo

暗号化された SMB 通信を、複合した状態でキャプチャーする Windows の標準コマンド

概要
暗号化された SMB 通信を複合した状態でキャプチャーできる Windows の標準コマンドを紹介します。

内容
暗号化されている SMB 通信をキャプチャーすると

暗号化されている SMB 通信を Wireshark でキャプチャーすると「Encrypted SMB3」と表示され、内容が確認できません。


暗号化されている SMB 通信を複合した状態でキャプチャーする方法
1. SMB のクライアントマシンで、管理者権限のコマンドプロンプトで以下のコマンドを実行し、キャプチャーを開始します。
netsh trace start provider=Microsoft-Windows-SMBClient


2. 暗号化された SMB 通信を行います。

3. 管理者権限のコマンドプロンプトで、以下のコマンドを実行し、キャプチャーを終了します。
netsh trace stop
「ファイルの場所」に .etl ファイルが出来上がります。



キャプチャーしたファイルを解析する方法
1. 上記 4 で作成された .etl ファイルを、Message Analyzer で開きます。
Message Analyzer は、.etl ファイルを作成したマシン上で実行する必要はありません。

2. 見やすさのため「Layout」->「SMB Flat」を選択し、SMB 調査用のビューにします。


3. ここでは SMB の read を見るため、フィルターに「*Summary contains “ReadResponse”」と入れて「Apply」を実行します。


4. ファイル名「test.txt」が、「Status:  Success」より正常に読み込まれたことがわかり、text.txt の内容が「This is a test」であることがわかります。


情報元
SMB 3.1.1 Encryption and Decryption (with MA) by Obaid Farooqi (英語)

関連記事
暗号化されたSMB 通信を復号した状態でキャプチャーし、SMB 通信の中身を確認する方法復号
  1. 2017/02/14(火) 23:10:55|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<Linux 上の Python プロセスのハングの原因を GDB を用いて調査 | ホーム | ソース解析時に便利な Visual Studio 2017 の新機能 - フォルダーを開く、すべての参照を検索、すべてに移動>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
https://troushoo.blog.fc2.com/tb.php/332-02d0b765
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (80)
ネットワーク (37)
Wireshark (44)
Visual Studio (55)
WinDbg (34)
SOS・Psscor2/Psscor4 (25)
Linux (19)
コンテナ (4)
Azure (17)
Tips (19)
AD (8)
.NET (24)
Python (6)
Java (5)
SQL (1)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する