إصدار Intercepter-NG 2.5 لنظام Android

نعم ، Intercepter لا يزال على قيد الحياة! وبعد فترة هدوء طويلة ، يسرني أن أعرض نسخة جديدة.

في البداية ، كانت المهمة هي تمشيط الواجهة ، وإصلاح الأخطاء ، وتقديم بعض الابتكارات واختبار الأداء في الإصدارات الجديدة من Android.

ما جاء منه - تحت الخفض.

وبالتالي. تحسين مظهر التطبيق وسهولة الاستخدام. يتم تحديد المعلومات المعروضة حسب الألوان ، ويتم تغيير حجم النص عن طريق الإيماءات ، ويمكنك التبديل بين علامات التبويب باستخدام الضربات الشديدة ، كما تتم إضافة استجابة اهتزاز.

يتم حفظ قواعد التوجيه و iptables تلقائيًا قبل بدء العمل واستعادتها عند الانتهاء.

لتجنب التوقعات غير الضرورية في وقت الإطلاق ، يتم عرض نتيجة الفحص السابق للشبكة الحالية. أيضًا ، يتم إجراء فحص مسبق سريع عند بدء التشغيل - للتخلص من الحاجة إلى إعادة المسح ، كما كان مطلوبًا في الإصدارات السابقة. تم تحسين عملية المسح ، تمت إضافة طريقة جديدة لتحليل الأسماء. وظيفة مضافة لحفظ الأسماء تلقائيًا. إذا لم يكن من الممكن تحديد اسم الجهاز أثناء الفحص ، فسيتم أخذه من ذاكرة التخزين المؤقت.

تمت إضافة زر التشخيص إلى الإعدادات. في حالة حدوث مشاكل ، يمكن أن تسهل المعلومات المعروضة البحث عن حل. على وجه الخصوص ، يتم التحقق من حالة SELinux. يقوم Intercepter تلقائيًا بتحويل setenforce إلى 0 أثناء بدء التشغيل ، لذلك إذا أظهرت التشخيصات حالة التنفيذ ، فهذا يعني أننا لن نقوم بتعطيلها على هذا النظام ويجب ألا تنتظر التشغيل الصحيح. يحدث هذا الموقف ، على سبيل المثال ، على البرامج الثابتة للأوراق المالية من Samsung. يتم حلها عن طريق تثبيت ROMs خارجية ، على سبيل المثال LineageOS.

يعمل Intercepter الجديد على جميع التصميمات بدءًا من Android 4.4. تم إجراء الاختبار الرئيسي على Android 9 و 10 ، ولا ينبغي أن يكون هناك أي اختلافات في العمل على الإصدارات السابقة. لا يلزم تثبيت إضافي لـ BusyBox و SuperSU. يكفي Magisk أو غيرهم من مدراء الجذر المدمجين. تم تحديث Libpcap إلى الإصدار 1.9.1. بدءًا من Android 8.1 ، للحصول على SSID للشبكة (يتم عرضها على الشاشة الأولية) ، يجب عليك توفير الوصول إلى بيانات الموقع. لا يمكنك تقديمها ، وهذا لا يؤثر على وظائف البرنامج.

إضافة كود SSLStrip المحسّن ، وأضاف انتحال HSTS.

تم تحويل ماسح المنفذ الحالي إلى X-Scan مبسط من الإصدار الأصلي لـ Windows. يتم تطبيق التحقق من SSL لفتح المنافذ ، ثم يتم عرض شعار الخدمة (إذا كان متاحًا) ويتم فحص المنفذ للتأكد من أنه ينتمي إلى بروتوكول HTTP.
إذا كان الأمر كذلك ، يتم إخراج المعلومات من رؤوس HTTP المختلفة.

إذا كان المنفذ 445 مفتوحًا ، فستتم محاولة قراءة إصدار نظام التشغيل من خلال طلب SMB. بالإضافة إلى ذلك ، يتم إطلاق التحقق من وجود ثغرة EternalBlue.

أريد الآن أن أتحدث عن وظيفة جديدة يمكن أن تنمو لتصبح شيئًا كبيرًا حقًا إذا كان المجتمع يدعم الفكرة بنشاط.

من خلال إجراء مسح ARP عادي ، نحصل على زوج من IP: MAC. من خلال عنوان MAC ، يمكننا تحديد الشركة المصنعة لبطاقة الشبكة ، من خلال طلب ICMP ، يمكننا الحصول على قيمة TTL وتحديد ، بشكل عام ، نوع نظام التشغيل: Windows (128) أو Unix (64) أو شيء أكثر ندرة - Cisco IOS (255) . إذا كان الجهاز المختبر يحتوي على منافذ TCP مفتوحة ، فيمكننا الحصول على حجم نافذة TCP وفصل Windows XP بالفعل عن Windows 7 أو Linux من FreeBSD.

وفقًا لهذا المخطط ، تم تحديد نظام التشغيل في الإصدارات السابقة من Intercepter.

في محاولة لتوسيع إمكانيات تحديد نظام التشغيل ، تحولت إلى البصمات السلبية ، والتي تم تجاهلها لسنوات عديدة. التطبيق الأكثر صلة بقاعدة جديدة نسبيًا هو ساتوري. يعمل كل من Satori و p0f (أداة أخرى معروفة جيدًا) بالطريقة نفسها تمامًا كما هو موضح أعلاه ، فقط بالإضافة إلى قيمتي العلامات ، يتم تحليل عدد من حقول رؤوس IP و TCP الأخرى ، بالإضافة إلى خيارات TCP وقيمتها وتسلسلها. البصمة الناتجة هي خط من الشكل التالي: 64240: 128: 1: 52: M1460 ، N ، W8 ، N ، N ، S: T. هذا هو بصمة الإصبع لنظام التشغيل Windows 10 ، وهو ذو صلة أيضًا بنظام التشغيل Windows 7.

بعد فحص قاعدة بيانات بصمات الأصابع بالكامل لبروتوكول TCP ، أصبح من الواضح أن استخدامها يمكن أن يحسن دقة تحديد نظام التشغيل ، لكن التوقعات الأولية لم تتحقق ، لأن العديد من المطبوعات مناسبة للعديد من إصدارات أنظمة التشغيل ، لذلك من الصعب للغاية الاختيار من بين عدد من الخيارات.

في البداية ، تم إنشاء أنظمة بصمات الأصابع هذه كطريقة عامة لتحديد نظام التشغيل ، والتي تنطبق على حركة المرور من الشبكات المختلفة ، بما في ذلك الشبكات العالمية ،
حيث لا تكون معلمة مثل عنوان MAC مهمة. لكن Intercepter يعمل بشكل صارم في بيئة إيثرنت ، حيث يمكن الوصول إلى كل جهاز بشكل مباشر ولديه MAC فريد.

إذا أضفنا أول 3 بايت من عنوان MAC إلى بصمة TCP ، فسوف نحصل على سجل فريد تقريبًا يتيح لنا تحديد ليس نظام التشغيل مثل طراز الجهاز بدرجة عالية من الدقة! وينطبق ذلك كحد أدنى على الهواتف الذكية والأجهزة اللوحية وأجهزة شبكة المكاتب الأخرى مثل أجهزة التوجيه والطابعات وما إلى ذلك. بهذه الطريقة نزيد بشكل كبير من فوائد استخدام بصمات الشبكة. الصعوبة الوحيدة هي جمع قاعدة بيانات السجلات ...

يتم حل المشكلة بعدة طرق:

1.

تمت إضافة زر إلى إعدادات Intercepter التي تولد بصمة لجهازك ، فقط قم بنسخه وإرساله لي عبر البريد.

الشيء الرئيسي هو التأكد من تعطيل التوزيع العشوائي لعنوان MAC ، وإلا ستكون بصمة الإصبع غير مجدية تمامًا.

الإيجابيات : لا يتطلب إيماءات خاصة.
السلبيات : يطبع فقط أجهزة Android بامتيازات الجذر.

2.

الأشعة السينية. إذا كان هناك منفذ مفتوح واحد على الأقل ، عند الانتهاء من الفحص ، يتم عرض بصمة إصبع للجهاز قيد التحقيق ، والتي يتم نسخها تلقائيًا إلى الحافظة. إذا كانت لديك الفرصة لمعرفة إصدار نظام التشغيل و / أو طراز الجهاز - قم بتوقيع بصمة الإصبع وإرسالها إلى البريد الإلكتروني.

الإيجابيات : يمكن أن تساعد المعلومات الإضافية المعروضة في هذا الوضع في تحديد طراز الجهاز وتشكيل بصمة ، حتى لو كنت لا تعرف ما هو أمامك.
السلبيات : تغطية منخفضة ، طباعة واحدة لكل مسح.

3.

Intercepter-NG 1.0+. لقد قمت بتحديث صغير عن طريق إضافة إخراج بصمة الإصبع على Smart Scan. هناك العديد من التصحيحات والتحسينات المتعلقة بالإصدار 1.0 السابق ، بما في ذلك المدقق على EternalBlue المضاف إلى X-Scan ، تم تحديث قاعدة بيانات oui. تذكر تثبيت npcap.

الإيجابيات : يسمح لك بالحصول على بصمات الأصابع لعدد كبير من الأجهزة على الشبكة في كل مرة.
السلبيات : يتم فحص قائمة محدودة من المنافذ الأكثر شيوعًا.

مثال على البصمة الكاملة: CC2DE0 ؛ 14480: 64: 1: 60: M1460 ، S ، T ، N ، W5: ZAT = Linux 3.x ؛ MikroTik RB750Gr3

في المرحلة الأولية ، تكون بصمات الأصابع مطلوبة حتى من أنظمة الكمبيوتر التقليدية التي لا تحتوي على طراز معين. من الضروري تجديد ما يسمى بصمات الأصابع العامة التي تجمع بين عائلة أنظمة التشغيل من الإصدارات المختلفة.

ستكون قاعدة البيانات هذه مفيدة ليس فقط للاستخدام في Intercepter ، ولكنها ستصبح أيضًا مفيدة لأي مشروع آخر يتعامل مع تحليل حركة المرور ، على سبيل المثال NetworkMiner ، المستخدم في الطب الشرعي للكمبيوتر. القواعد الحالية للكشف السلبي عن نظام التشغيل بواسطة بصمات الأصابع TCP قديمة جدًا أو تحتوي على عدد غير كافٍ من الإدخالات. هناك nmap ، الذي يتم تحديثه بطريقة أو بأخرى ، ولكن nmap يدور حول المسح النشط ، قصة مختلفة تمامًا ...

يقدم Intercepter طريقة مريحة وسريعة لجمع بصمات الأصابع دون الحاجة إلى معرفة عميقة في تكنولوجيا المعلومات - قم بإجراء مسح ضوئي ، ونسخ بصمة - التوقيع ، وإرسال. قطعة من الكعك.

أعطي الأداة ، وما عليك القيام به بعد ذلك متروك لك ...

يهتم الكثير بمصير إصدار Windows الرئيسي. سيتم إصدار تحديث كامل بالتأكيد ، ولكن عندما - لا يزال غير معروف.

أشكر AndraxBoy ومستخدمي w3bsit3-dns.com الآخرين لمساعدتهم في الاختبار. شكر خاص إلى Magomed Magomadov والكسندر Dmitrenko.

يمكن إرسال الأسئلة والرغبات والمطبوعات إلى intercepter.mail@gmail.com. بالنسبة لبصمات الأصابع ، يجب تحديد سمة بصمة الإصبع.

الموقع: sniff.su
المرآة : github.com/intercepter-ng/mirror
البريد: intercepter.mail@gmail.com
Twitter: twitter.com/IntercepterNG
المنتدى: intercepterng.boards.net
المدونة: intercepter-ng.blogspot.ru