Network Trafiğindeki JPEG Dosyalarının Analizi (Network Forensics)

İçerik;

  • JPEG Nedir?
  • Network Trafiğinde Nasıl Tespit Edebiliriz?
  • Dışa Aktarımı
  • Kaynağına Gidilmesi
    ve daha fazlası..

Not: Yapacağımız örnekler HTTP trafiği üzerinden ilerlemektedir.
Not2: Yardımcı araç olarak Wireshark aracını kullanacağız.

Öncelikle JPEG Nedir?

JPEG(Joint Photographic Experts Group), standartlaştırılmış bir sayısal görüntü kodlama biçimidir. JPEG standardında görüntü saklayan dosya biçimi de çoğunluk tarafından JPEG olarak adlandırılır. Bu dosyalar genellikle .jpg, .jpe ya da .jfif uzantılıdır. Yani özet olarak jpg ile jpeg arasında fark yoktur. Tek fark kullanılan karakter sayısıdır.

Network Trafiğinde Nasıl Tespit Edebiliriz?

Wireshark üzerinden trafiği inceleyecek olursak öncelikle bize yardımcı olabilecek filtrelere göz atalım.

Bunlar;

  • http contains “\xff\xd8”
  • http contains “JPEG”
  • http.content_type == “image/jpeg”

Bu parametreleri kullanarak rahatlıkla JPEG dosyalarını filtreleyebiliriz.

Dışa Aktarımı

JPEG dosyasının bulunduğu pakete sağ tıklayıp Follow > TCP Stream diyelim.

Açılan pencerede Show and save data as kısmını Raw olarak işaretleyelim.

Raw Nedir? Wikipedia’ye göre RAW, dijital fotoğraf makinelerinde filmin karşılığı olan sensör üzerine düşen görüntü dijital işlemci tarafından sayısal verilere dönüştürülüp fotoğraf haline getirilir. Çekim sırasında belli işlemlerden geçen ham görüntü genelde JPEG bazen de TIFF dosya biçimine dönüştürülür.

Özet olarak elimizdeki JPEG kaynağını sayısal veriye dönüştürdük. Daha sonra Find bölümünde “ffd8” yazarak arama yapalım. “ffd8” noktasını bulduktan sonra o noktadan itibaren bütün bölümü kopyalayalım.

Ufak bir not! ffd8 yazmamızın sebebi JPEG görüntü dosyaları FF D8 ile başlar ve FF D9 ile biter. Yani buradaki amacımız başlangıç noktası bulmaktır.

Kopyaladığımız kısmı herhangi bir HEX editörü ile açalım ve kopyaladığımız kısmı yapıştıralım.

HEX editörüne kopyaladıktan sonra .jpeg uzantısı ile kaydedelim işlemimiz bu kadar..

Kaynağına Gidilmesi

Protocol Tree Window bölümünden Hypertext Transfer Protocol > Full request URI bölümüne sağ tıklayıp Copy > Value diyerek adresi kopyalayabiliriz.

Özet olarak bir network trafiğinde bir dosya türünün tespiti, bu dosya türünün dışarı aktarımı ve bu dosya türünün kaynağına gidilmesi bu şekilde.

About The Author

Reply