Smtp-anex
Jump to navigation
Jump to search
This article needs to be translated
This article has been copied from the old wiki and is in french. It needs to be translated into english. If you wish to participate, please send a mail to (click to reveal email)
smtp_anex
Description
smtp_anex (SMTP ANalyse and EXtraction tool) est un outil (écrit en Perl par Kristinn Gudjonsson dans le cadre du concours forensicscontest.com) d'analyse et d'extraction de conversations SMTP. Le fichier analysé doit correspondre à un fichier "dumpé" (voir par exemple pcapcat du même auteur) à partir d'un fichier de capture au format pcap.
Installation
# cd /usr/local/bin/ # wget http://blog.kiddaland.net/dw/smtp_anex # chmod +x smtp_anex
Utilisation
Syntaxe de base
sanex -r|-read [-d|-directory DIR] [-q|-quiet] [-a] FILE sanex[ -v|--version] [-h|--help|-?] [-d|-debug]
Options
-r|-read FILE Ce paramètre permet de spécifier le chemin du fichier à lire. Le fichier FILE doit correspondre à une conversation en clair (le dump d'un tel fichier à partir d'un fichier de capture peut être réalisé à l'aide de pcapcat) -q|-quiet Pour éviter l'affichage des informations relatives à la conversation SMTP par défaut, utiliser ce paramètre (mode silencieux). -a|-analyze Ce paramètre permet l'affichage d'informations de debug -d|-directory DIR Spécifie le répertoire d'export des données extraites - Text.txt - HTML.html - info.txt - Nom des pièces jointes -v|-version Affiche la version -h|-help|-? Affiche l'aide
Exemple d'utilisation
Dump préliminaire du fichier de capture
$ pcapcat -r evidence02.pcap [1] TCP 192.168.1.159:1036 -> 64.12.102.142:587 [2] TCP 192.168.1.159:1038 -> 64.12.102.142:587 Enter the index number of the conversation to dump or press enter to quit: 1 Dumping index value 1 Unable to determine output file Give the name of the output file: file1 Overwriting file: file1
Extraction de la conversation SMTP
$ smtp_anex -r file1 -d smtp1
------------------------------------------------------------
SMTP_ANEX (SMTP ANALYSIS AND EXTRACTION)
------------------------------------------------------------
Tool run on: Tue Dec 1 06:15:46 2009
Information from e-mail header
Mail from: [email protected]
Recipient: [email protected]
Information from e-mail body
Mail from: "Ann Dercover" <[email protected]>
Mail to : <[email protected]>
Subject : lunch next week
Authentication information:
Username: [email protected]
Password: 558r00lz
Header information:
date : Sat, 10 Oct 2009 07
x-mimeole : Produced By Microsoft MimeOLE V6.00.2900.2180
x-mailer : Microsoft Outlook Express 6.00.2900.2180
content-type : multipart/alternative;
boundary="----=_nextpart_000_0006_01ca497c.3e4b6020" :
x-priority : 3
x-msmail-priority : Normal
mime-version : 1.0
message-id : <000901ca49ae$89d698c0$9f01a8c0@annlaptop>
Additional information:
data_response: 250 OK
cmd_ehlo: HASH(0x9018bc0)
banner: 220 cia-mc06.mx.aol.com esmtp mail_cia-mc06.1; sat, 10 oct 2009 15:35:16 -0400
auth_leftovers: 235 - AUTHENTICATION SUCCESSFUL
data_cmd_response: 354 start mail input, end with "." on a line by itself
header: HASH(0x9021780)
------------------------------------------------------------
The message content
------------------------------------------------------------
-------- Text --------
Sorry-- I can't do lunch next week after all. Heading out of town. =
Another time! -Ann
-------- HTML --------
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; =
charset=iso-8859-1">
<META content="MSHTML 6.00.2900.2853" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Sorry-- I can't do lunch next week =
after all.
Heading out of town. Another time! -Ann</FONT></DIV></BODY></HTML>