Um único arquivo de captura de rede (formato pcap) pode conter mais de um handshake. Isso pode acontecer, por exemplo, quando o Airodump-ng está rodando por um longo tempo, podendo interceptar vários handshakes do mesmo ou de diferentes pontos de acesso. Apertos de mão de arquivos capturados em condições “ruidosas” precisam de verificação e limpeza adicionais.
Vários handshakes em um arquivo podem ser obtidos artificialmente simplesmente combinando-os em um arquivo. Por exemplo, o programa Besside-ng (captura automaticamente handshakes de todas as filhas de acesso ao alcance, para isso realiza um ataque de desautenticação) cria um único arquivo .cap para todos os pacotes de handshake capturados.
Aqueles. Esta não é uma situação incomum e para realizar um ataque a redes cujos handshakes estejam no mesmo arquivo pode ser necessário extrair cada handshake.
Como dividir handshakes em arquivos diferentes
É importante entender a diferença entre um arquivo que consiste apenas em alguns apertos de mão e um arquivo capturado em um ambiente barulhento. Exemplo de análise de arquivo do primeiro tipo (usando aircrack-ng):
Aircrack-ng FILE_NAME.cap
Exemplo de arquivo do segundo tipo:
Pode-se observar que o segundo arquivo contém muito lixo e há apenas dois handshakes hackeáveis em todo o arquivo. Entre o lixo, existem muitos quadros EAPOL individuais (componentes de handshake) que são inadequados para adivinhação de senha.
Você pode usar o Wireshark para visualizar o conteúdo do arquivo. Após abrir o arquivo, configure o filtro:
Dividindo manualmente arquivos de handshake usando Wireshark
Se você estiver trabalhando com um arquivo de handshakes mesclados, não deverá haver problemas específicos com ele. Abra o arquivo no Wireshark:
Você pode usar um filtro
Wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || águia
Mas pode não ser necessário, pois apenas os pacotes necessários já estão disponíveis.
Para filtrar pacotes para um ponto de acesso específico, especifique-o BSSID com o seguinte filtro:
Wlan.addr==BSSID
Por exemplo:
Wlan.addr==28:28:5D:6C:16:24
Ou assim:
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr==28:28:5D:6C:16:24
Agora com a ajuda CTRL+m selecione os pacotes necessários:
E no cardápio Arquivo selecione Exportar pacotes específicos:
Digite um nome de arquivo e marque o botão de opção Somente pacotes marcados:
Vamos verificar nosso arquivo:
Tudo está bem. Você pode fazer outra verificação usando coWPAtty executando um comando como:
Cowpatty -r ARQUIVO -s NETWORK_NAME -c
Por exemplo, no meu caso:
Cowpatty -r ZyXEL_59.pcap -s ZyXEL_59 -c
Frase " Coletou todos os dados necessários para montar o crack contra a senha WPA2/PSK" significa que todos os dados necessários para quebrar a senha foram coletados.
É preciso algum esforço para extrair um aperto de mão de um aperto realizado em um ambiente barulhento. Vamos começar com a filtragem (substitua 84:C9:B2:52:F6:37 por BSSID rede na qual você está interessado):
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr==84:C9:B2:52:F6:37
O handshake é adequado para quebra de senha se:
- inclui necessariamente o segundo elemento (M2), bem como o terceiro (M3) (garante que foi feita uma conexão à rede) ou em vez do terceiro elemento contém o primeiro elemento (M1) (o handshake é adequado para quebra de senha, mas não há garantia de que a conexão tenha sido feita e que a senha correta tenha sido digitada). É melhor se você conseguir capturar todos os quatro elementos;
- os elementos de um aperto de mão devem seguir na ordem correta;
- não deve haver muito tempo entre eles (medido em milissegundos e microssegundos).
Vejamos o exemplo a seguir.
O primeiro conjunto de quadros EAPOL (destacados em preto) - não é seguida a regra de que deve haver uma terceira ou primeira mensagem além da segunda.
O segundo conjunto (vermelho) é apenas uma mensagem.
Terceiro conjunto (amarelo) - não há terceira ou primeira mensagem.
Quarto conjunto (laranja) - sem segunda mensagem.
O quinto conjunto (verde) é adequado porque contém uma segunda e uma primeira mensagem. O tempo entre as mensagens parece aceitável.
Selecione e salve os frames necessários (também selecionei o frame Beacon):
Nosso arquivo passa nas verificações:
Isolando um aperto de mão usando tshark
tshark é Wireshark, mas sem a GUI. Este programa também pode ser usado para dividir um arquivo de captura grande em handshakes individuais. Para fazer isso, o comando é executado da seguinte forma:
Tshark -r SOURCE_FILE.cap -R "(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr == BSSID" -2 -w FINAL_FILE.cap -F pcap
Nele você precisa inserir seus valores para:
- SOURCE_FILE.cap- arquivo com vários apertos de mão
- BSSID- Endereço MAC do ponto de acesso de interesse
- FINAL_FILE.cap- arquivo onde o handshake selecionado será salvo
Exemplo de um comando real:
Tshark -r wpa.cap -R "(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr == 84:C9:B2:0B:79:94" -2 -w $ESSID.cap -F pcap -w wifi55.cap
Resolvendo o erro de formato de arquivo não suportado (não é um arquivo pcap ou IVs). Leia 0 pacotes. Nenhuma rede encontrada, saindo.
Para alguns usuários, ao usar tubarão e posteriormente abrindo o arquivo resultante em aircrack-ng ocorre um erro:
Aircrack-ng MiAl.cap Abrindo MiAl.cap Formato de arquivo não suportado (não é um arquivo pcap ou IVs). Leia 0 pacotes. Nenhuma rede encontrada, saindo. Saindo do aircrack-ng...
Para evitar este erro, ao salvar com o programa tshark, você precisa especificar a opção -F pcap, que especifica o formato de arquivo correto.
Script para dividir apertos de mão
Para automatizar a divisão de um arquivo em handshakes, escrevi um script. Lembre-se que se você dividir um arquivo obtido usando Ao lado ou artificialmente ao mesclar handshakes, o script funcionará sem problemas.
Se você estiver dividindo um arquivo de captura adquirido em condições ruidosas (por exemplo, durante longos períodos de trabalho) em handshakes separados Airodump-ng), então o script funcionará assim:
- se nenhum handshake funcional for encontrado para qualquer ponto de acesso, todos os dados serão descartados (nenhum arquivo de saída será criado)
- Se pelo menos um handshake funcional for encontrado para o ponto de acesso, todos os quadros EAPOL serão salvos em um arquivo.
Aqueles. você mesmo precisará abrir os arquivos de saída e verificar se há algum dado desnecessário neles.
Embora o aircrack-ng pareça encontrar corretamente o handshake necessário, problemas foram notados com cap2hccapx (do conjunto hashcat-utils, usado para converter para o formato hash Hashcat) se quadros EAPOL desnecessários de handshakes inutilizáveis não forem apagados primeiro.
E copie aí:
Expandir
Para executar, especifique o arquivo .(p)cap do qual deseja extrair os handshakes.
Exemplo do programa:
Se pelo menos um handshake funcional for encontrado, uma pasta como 2018-04-13-155818 será criada no diretório atual, na qual os handshakes de todos os pontos de acesso serão salvos como arquivos separados.
São exibidas informações sobre o nome do arquivo com quadros salvos, bem como informações sobre os próprios quadros salvos.
Quando você não precisa dividir um arquivo em handshakes separados
Você não precisa primeiro dividir o arquivo em handshakes separados se for usar o programa aircrack-ng. Para selecionar um alvo você pode usar as seguintes opções:
E
Programa cap2hccapx escreverá todos os hashes (para hackear no Hashcat) em um arquivo.hccapx.
Começa assim:
Cap2hccapx.bin SOURCE_FILE.cap HASHES.hccapx
Por exemplo:
Cap2hccapx.bin wpa.cap all.hccapx
Para gravar um hash para apenas um AP, especifique-o ESSID:
Cap2hccapx.bin SOURCE_FILE.cap HASHES.hccapx ESSID
Cap2hccapx.bin wpa.cap Zyxel-49.hccapx Zyxel-49
Você está tendo problemas para abrir arquivos .CAP? Nós recolhemos informações sobre formatos de arquivo e podemos explicar o que são arquivos CAP. Além disso, recomendamos programas mais adequados para abrir ou converter esses arquivos.
Para que é usado o formato de arquivo .CAP?
Abreviação de extensão de arquivo "captura" .boné serve principalmente como uma representação do tipo e formato do arquivo de captura de pacotes Wireshark ( .boné). Wireshark é um analisador de pacotes de código aberto com ampla funcionalidade de captura e filtragem de tráfego de rede para sistemas operacionais do tipo Unix e Microsoft Windows.
Arquivo .boné contém um dump de baixo nível do conteúdo dos pacotes capturados pelo Wireshark da interface de rede ativa e salvos para estudo posterior no formato nativo do Wireshark. Esses arquivos podem ser abertos no Wireshark e exportados para vários outros formatos de captura de tráfego de rede.
Além do Wireshark, a extensão .boné amplamente utilizado por vários outros analisadores de rede (por exemplo, Microsoft Network Monitor, tcpdump, Network Associates Sniffer, etc.) para designar arquivos de captura de pacotes, cada um dos quais usa seu próprio formato. O Wireshark oferece suporte completo para a maioria dos outros formatos para salvar pacotes capturados.
Extensão .boné também se refere ao novo formato de imagem proprietário do software BIOS (CAP) desenvolvido pela ASUSTeK para várias de suas placas-mãe com chipsets Intel, como a P9X79 PRO. Arquivo .bonéé uma imagem de “firmware” da ROM do BIOS que descreve as “capacidades” de uma determinada placa-mãe de acordo com o Unified Extensible Firmware Standard (UEFI BIOS).
Antes de usar arquivos .boné Para atualizar o firmware do BIOS, a própria estrutura do BIOS deve ser atualizada para o formato CAP usando o utilitário BIOS Converter fornecido pela ASUS para vários modelos de placas. Para uma conversão bem-sucedida, o arquivo do BIOS Converter também deve ser renomeado de maneira especial. A transição para o formato CAP BIOS permite compatibilidade máxima com sistemas operacionais Microsoft, como o Windows 8.
Além disso, a extensão .bonéé uma designação para o tipo de arquivo de legenda oculta ( .boné). Comumente usado em transmissão de televisão e vídeo, Closed Captions (CC) é um método padronizado (CEA-608) de apresentação de legendas que pode ser incluído a pedido do espectador. Arquivo .bonéé um arquivo binário em um dos formatos (Cheetah, NCI ou Captionmaker). Arquivos semelhantes .boné criado usando vários programas editores ou convertendo de outros formatos. Eles são usados para preencher trilhas de legenda oculta ao criar ou editar materiais de vídeo.
Se você instalou em seu computador programa antivírus Pode verifique todos os arquivos do seu computador, bem como cada arquivo individualmente. Você pode verificar qualquer arquivo clicando com o botão direito no arquivo e selecionando a opção apropriada para verificar se há vírus no arquivo.
Por exemplo, nesta figura está destacado arquivo meu-arquivo.cap, então você precisa clicar com o botão direito neste arquivo e selecionar a opção no menu arquivo "digitalizar com AVG". Ao selecionar esta opção, o AVG Antivirus abrirá e verificará se há vírus no arquivo.
Às vezes, um erro pode ocorrer como resultado instalação incorreta de software, o que pode ser devido a um problema encontrado durante o processo de instalação. Isso pode interferir no seu sistema operacional vincule seu arquivo CAP à ferramenta de aplicação correta, influenciando o chamado "associações de extensão de arquivo".
Às vezes simples reinstalando o Microsoft Network Monitor pode resolver seu problema vinculando corretamente o CAP ao Microsoft Network Monitor. Em outros casos, problemas com associações de arquivos podem resultar de programação de software ruim desenvolvedor e talvez seja necessário entrar em contato com ele para obter mais assistência.
Conselho: Tente atualizar o Microsoft Network Monitor para a versão mais recente para garantir que você tenha os patches e atualizações mais recentes.
Isto pode parecer demasiado óbvio, mas muitas vezes O próprio arquivo CAP pode estar causando o problema. Se você recebeu um arquivo via anexo de e-mail ou baixou-o de um site e o processo de download foi interrompido (como queda de energia ou outro motivo), o arquivo pode ficar danificado. Se possível, tente obter uma nova cópia do arquivo CAP e tente abri-lo novamente.
Com cuidado: Um arquivo danificado pode causar danos colaterais a malwares anteriores ou existentes em seu PC, por isso é importante manter seu computador sempre executando um antivírus atualizado.
Se o seu arquivo CAP relacionado ao hardware do seu computador para abrir o arquivo que você pode precisar atualizar drivers de dispositivo associados a este equipamento.
Este problema geralmente associado a tipos de arquivos de mídia, que dependem da abertura bem-sucedida do hardware dentro do computador, por ex. placa de som ou placa de vídeo. Por exemplo, se você estiver tentando abrir um arquivo de áudio, mas não conseguir abri-lo, pode ser necessário atualizar drivers da placa de som.
Conselho: Se ao tentar abrir um arquivo CAP você receber Mensagem de erro do arquivo .SYS, o problema provavelmente poderia ser associado a drivers de dispositivo corrompidos ou desatualizados que precisam ser atualizados. Este processo pode ser facilitado usando um software de atualização de driver como o DriverDoc.
Se as etapas não resolverem o problema e você ainda está tendo problemas para abrir arquivos CAP, isso pode ser devido a falta de recursos do sistema disponíveis. Algumas versões de arquivos CAP podem exigir uma quantidade significativa de recursos (por exemplo, memória/RAM, poder de processamento) para serem abertas corretamente em seu computador. Esse problema é bastante comum se você estiver usando um hardware de computador bastante antigo e, ao mesmo tempo, um sistema operacional muito mais recente.
Esse problema pode ocorrer quando o computador está tendo dificuldade em acompanhar uma tarefa porque o sistema operacional (e outros serviços executados em segundo plano) podem consumir muitos recursos para abrir o arquivo CAP. Tente fechar todos os aplicativos em seu PC antes de abrir o arquivo de dados de captura de pacotes do Network Monitor. Liberar todos os recursos disponíveis em seu computador fornecerá as melhores condições para tentar abrir o arquivo CAP.
Se você completou todas as etapas descritas acima e seu arquivo CAP ainda não abrir, pode ser necessário executar atualização de equipamento. Na maioria dos casos, mesmo ao usar versões mais antigas de hardware, o poder de processamento ainda pode ser mais que suficiente para a maioria dos aplicativos de usuário (a menos que você esteja fazendo muito trabalho com uso intensivo de CPU, como renderização 3D, modelagem financeira/científica ou trabalho multimídia intensivo). Por isso, é provável que o seu computador não tenha memória suficiente(comumente chamada de "RAM" ou memória de acesso aleatório) para executar a tarefa de abrir um arquivo.
A causa mais comum de problemas com a abertura do arquivo CAP é simplesmente uma falta de aplicativos apropriados instalados em seu computador. Nesse caso, basta localizar, baixar e instalar um aplicativo que sirva arquivos no formato CAP - tais programas estão disponíveis abaixo.
Sistema de pesquisa
Insira a extensão do arquivo
Ajuda
Dica
Observe que alguns dados codificados de arquivos que nosso computador não lê às vezes podem ser visualizados no Bloco de Notas. Desta forma leremos fragmentos de texto ou números - Vale a pena verificar se este método também funciona no caso de arquivos CAP.
O que fazer se o aplicativo da lista já estiver instalado?
Muitas vezes, o aplicativo instalado deve ser automaticamente associado ao arquivo CAP. Se isso não acontecer, o arquivo CAP poderá ser associado manualmente com sucesso ao aplicativo recém-instalado. Basta clicar com o botão direito no arquivo CAP e, dentre os disponíveis, selecionar a opção “Escolher o programa padrão”. Então você precisa selecionar a opção “Visualizar” e encontrar seu aplicativo favorito. As alterações inseridas devem ser aprovadas através da opção “OK”.
Programas que abrem o arquivo CAP
janelas
Mac OS
Linux
Porque não consigo abrir o arquivo CAP
Os problemas com arquivos CAP também podem ter outras causas. Às vezes, mesmo a instalação de software no seu computador que suporta arquivos CAP não resolve o problema. O motivo da impossibilidade de abrir e trabalhar com o arquivo CAP também pode ser:
Associações inapropriadas de arquivo CAP nas entradas do registro
- corrupção do arquivo CAP que abrimos
- Infecção de arquivo CAP (vírus)
- poucos recursos de computador
- drivers desatualizados
- remoção da extensão CAP do registro do Windows
- instalação incompleta de um programa que suporta a extensão CAP
A correção desses problemas deve fazer com que os arquivos CAP possam ser abertos e trabalhados com você livremente. Caso seu computador ainda apresente problemas com arquivos, você precisará da ajuda de um especialista que determinará a causa exata.
Meu computador não mostra extensões de arquivo, o que devo fazer?
Nas configurações padrão do sistema Windows, o usuário do computador não vê a extensão do arquivo CAP. Isso pode ser alterado com sucesso nas configurações. Basta ir ao “Painel de Controle” e selecionar “Visualizar e Personalização”. Então você precisa ir em "Opções de pasta" e abrir "Exibir". Na aba “Visualizar” existe a opção “Ocultar extensões de tipos de arquivos conhecidos” - você deve selecionar esta opção e confirmar a operação clicando no botão “OK”. Neste ponto, as extensões de todos os arquivos, incluindo CAP, devem aparecer classificadas por nome de arquivo.
O arquivo CAP pode ter três versões principais:
- extensão é um arquivo de pacotes de tráfego de rede interceptados. Esses pacotes são gerados por utilitários de software especializados projetados para capturar e analisar tráfego. A saída, via de regra, é informação bruta. Os arquivos CAP, neste caso, são usados como um produto para plug-ins especializados em análise de tráfego de rede.
- imagem gráfica de alta qualidade capturada na câmera Fase um. Esta câmera é um dispositivo de médio formato que ganhou grande popularidade entre os especialistas em fotografia. A saída é uma imagem de alta resolução com uma rica gama de cores. Vale ressaltar que as imagens CAP ocupam um espaço significativo em disco e podem ser abertas para edição por meio de componentes de software especializados.
- um projeto de programa de jogo personalizado criado no Scirra Construct. Scirra Construct é uma espécie de construtor de jogos 2D. Este produto de software é baseado no codec DirectX9 e está disponível gratuitamente para qualquer usuário. O projeto, localizado no arquivo CAP, pode conter modelos tridimensionais de objetos, conteúdo multimídia (vídeo + áudio), fragmentos gráficos e códigos utilizados no jogo.
CAP tem dois seguidores - e. Essas extensões são usadas na nova versão do programa do jogo.
Programas para abrir arquivos CAP
Dependendo da execução do arquivo CAP, ele pode ser aberto e editado usando vários utilitários de software.
Se o arquivo CAP for um arquivo de pacotes de tráfego de rede interceptados, ele será adaptado para:
- PacketBone BoneLight;
Um arquivo CAP é uma imagem gráfica de alta qualidade capturada em uma câmera Phase One para abri-la para edição, use:
Se o arquivo CAP for um projeto do usuário de um programa de jogo, ele só poderá ser aberto na plataforma de várias versões do Scirra Construct.
Convertendo CAP para outros formatos
A capacidade de converter CAP (gráficos de alta qualidade) para outro formato de dados está disponível apenas para arquivos obtidos usando a câmera Fase um.
A conversão para as seguintes extensões é possível:
- CAP -> JPG, BMP, PNG, PSD, RAW (Conversor Snap);
- CAP -> GIF (Visualizador de imagens FastStone);
- CAP -> JPEG (XnView);
- CAP -> PSB (Adobe Photoshop para Mac).
A obtenção da extensão JPEG 2000/JP2 (uma versão melhorada do JPEG) pode ser obtida usando um conversor de fotos especial, por exemplo, PhotoconverterStandard. Possui uma interface de usuário conveniente e permite converter rapidamente até vários arquivos CAP ao mesmo tempo.
Porquê a PAC e quais as suas vantagens?
O escopo de aplicação de um arquivo com extensão CAP é incomumente amplo. Ele pode ser usado como um arquivo contendo gráficos de alta qualidade, pacotes de tráfego de rede capturados e até mesmo um projeto de programa de jogo personalizado.
