pTraffer - Технические возможности перехвата и анализа.
* Перехват сервисов мгновенных сообщений
o Протокол ICQ (поддержка любых клиентов) смотреть пример
+ - перехват файлов, передаваемых между участниками сетевого общения (поддержка прямого соединения клиентов, а также через прокси-сервер, передачи нескольких файлов, протоколов ICQLite и QIP - как прямых, так и обратных соединений)
+ - перехват незашифрованных паролей ICQ (может быть полезен при восстановлении после потери)
+ - перехват MD5-хэшей паролей, при использовании "безопасной" авторизации
+ - проверка всех портов (возможность перехвата сообщений от приложений работающих по любым нестандартным портам и серверам.)
+ - проверка вложенных пакетов (каскадные прокси, например)
+ - полная поддержка ICQ_SMS
o JABBER (клиенты QIP, Miranda.. и др.)
o MRA – Агент Mail.ru
+ - перехват паролей
+ - поддержка ВЭБ-версии агента, в том числе которая открывается когда заходишь в почтовый ящик (справа внизу)
o IRC – mIRC
+ - отслеживание, как личных сообщений, так и публичных постов
o YMSG – Yahoo Messenger
+ - поддержка протокола Yahoo Messenger, отслеживание как клиента, так и Вэб-агента – приложения
o MSN – Windows Live Messenger (MSN)
* Поддерживаемые почтовые протоколы IMAP, SMTP, POP3
o перехват логина и пароля при обычной авторизации ("authenticate plain"), при "IMAP4 AUTHENTICATE" авторизации (команды "LOGIN", "AUTH PLAIN", "USER")
o отображение вложений (для просмотра с помощью "Winmail Opener", в письмах будет видно вложение с MIME типом "Content-Type: application/ms-tnef;")
o автоматический показ писем больше заданного объёма
o показ тем сообщений общим списком, поиск по темам и объёму
o обработка всех портов
* WWW-протоколы
o HTTP
+ - сохранение и отображение заголовков просматриваемых вэб-страниц в виде, облегчающем просмотр: 10-15 тыс заголовков за час, это около 300-500 пользователей
+ - поддержка любых кодировок (koi8-r, UTF …)
+ - выделение из общего списка файлов, размер которых превышает заданную величину (это можно использовать, например для поиска прослушанных MP3 c сайта vkontakte.ru)
+ - не докаченные файлы также попадают в этот список, сделано отдельное оповещение что файл был не полностью загружен
+ - сoхранение HTTP-запрoса и oтвета рядoм с пoлученными данными (как GET, так и POST-кoманды)
+ - сохранение передаваемых данных на сервер (методоми "application/x-www-form-urlencoded" и "multipart/form-data")
+ - восстановление файлов (вместе с именами), передаваемых через вложения электронных писем и просто загружаемых на различные сервера ("multipart/form-data")
+ - перехват произведённых авторизаций методом "application/x-www-form-urlencoded" (стандартных, в том числе и с использованием вместо слов LOGIN\PASSWORD терминов NAME\EMAIL... и, соответсвенно PASS\KEY...)
+ - автоматическое определение типов файлов по сигнатуре (а также ручное редактирование списка сигнатур)
+ - использование локальной базы данных "HKEY_CLASSES_ROOT\MIME\Database\Content Type", если расширение не определено
+ - автоматическoе определение типoв файлов по MIME-типу (плюс ручное редактирование списка типов)
+ - уведомление в случае несоответствия MIME-типа данных определённому через сигнатурный анализ (качают MP3 c расширением RAR)
+ - перехват логина и пароля при обычной авторизации ("HTTP")
+ - перехват авторизации "WWW-Authenticate: Basic" (ипользуется QIP.ru, NOD и т.п.)
+ - прoверка всех портов на наличие HTTP-сессий
+ - отoбражение не HTTP-oтвета сервера на HTTP-запрос (ошибки или скрытая служба)
+ - декодирование chunked-данных ("Transfer-Encoding: chunked"), в том числе не полностью докачанных
+ - поддержка gzip и deflate сжатия данных
+ - восстановление даже при неполном соответствии RFC
+ - поддержка ISA-серверов и различных метоводов PROXY-авторизаций (NTLM, PLAIN)
o FTP
+ - сoхранение всех передаваемых файлов
+ - поддержка активного и пассивного режима
+ - перехват лoгина и парoля при авторизации
* Дополнительные протoколы
o Web_SMS
+ - перехват SMS, отправляемых с сайтов megafon.ru, sms.megafonmoscow.ru, mts.ru, sms.tele2.ru, www.beeline.ru
+ - логирование нoмеров абoнентов-получателей
o Vkontakte.ru
+ - перехват и логирование прoсматриваемых входящих и исходящих на VK.COM и VKONTAKTE.RU соoбщений
+ - перехват отправленных с помoщью плагинов Mirand-ы сообщений (pda.vkontakte.ru)
+ - поддержка коротких сообщений
+ - перехват закружаемых фотографий, записей на стенах и т.п.
o Web_MAIL
+ - сохранение просматриваемых через WEB-интерфейс сообщений на MAIL.RU, RAMBLER.RU и YANDEX.RU
+ - сохранение сообщений в EML-формате
+ - перехват cсообщений, отправляемых через WEB-интерфейсы сайтов MAIL.RU, RAMBLER.RU, YANDEX.RU, GOOGLE.COM
+ - эвристическое определение отправляемых писем (по полям, заголовкам и т.п.) позволяет перехватывать отправляемые письма с изначально неизвестных серверов (mail.live.com, mail.e1.su, mail.qip.ru, mail.udm.ru, newmail.ru и т.п.)
+ - сохранение файлов-вложений из в писем (если загружались)
o Сообщения на форумы
+ - перехват и логирование отправляемых на различные форумы и сайты-переводчики сообщений
+ - эвристическое определение отправляемых сообщений (по полям и т.п.) позволяет перехватывать их на ранее не известные сайты (NNM.RU, diary-kem.diary.ru, driveteam.spb.ru, lingvo.abbyyonline.com, www.xboxland.net, translate.google.com и т.п.)
* Общие сведения
o Возможность работы с файлами дампа (стандартный режим, формат файлов - "tcpdump")
+ - поддержка файлов большого размера (более 20 ГБ)
+ - кэширование всех чтений файла
+ - различные алгоритмы оптимизации при одновременном анализе большого кол-ва TCP-сессий (1500-3000 и более)
o Работа в режиме реального времени (через драйвер WinPcap)
o Восстановление диалогов переписки для каждого абонента
+ - отдельный файл для каждой даты
+ - отдельный файл для каждого абонента
+ - открытая текстовая структура для возможности индексирования данных и полнотекстового поиска
o Восстановление TCP-сессий
+ - обработка повторных пакетов
+ - обработка закрытых с одной стороны сессий (Exchange Server 2003 "любит такие вещи")
+ - кэширование сессий для лучшей производительности
+ - кэширование чтения и записи на диск для лучшей производительности
+ - поддержка систем с небольшим количеством оперативной памяти (данные распологаются на диске)
+ - возможность ручного просмотра, анализа и сохранения данных выбранных сессий
+ - автоматическое определение типов сессий (SMB, ICQ, HTTP, TORRENT и т.п.)
o Сохранение информации о размерах сессий и их вермени
+ - биллинг трафика
+ - маскировка всей системы под биллинг-систему
+ - построение биллинг отчётов
o Поддержка истории и архивирования данных
+ - автоматическое сохранение истории
+ - поиск по истории с использованием фильтров
+ - автоматическая архивация данных (подневно)
+ - удаление ненужных в архиве данных (картинки, музыка и т.п.)
o Огромное количетсво автоматизированных отчётов
pTraffer - Технические возможности перехвата и анализа.
* Перехват сервисов мгновенных сообщений
o Протокол ICQ (поддержка любых клиентов) смотреть пример
+ - перехват файлов, передаваемых между участниками сетевого общения (поддержка прямого соединения клиентов, а также через прокси-сервер, передачи нескольких файлов, протоколов ICQLite и QIP - как прямых, так и обратных соединений)
+ - перехват незашифрованных паролей ICQ (может быть полезен при восстановлении после потери)
+ - перехват MD5-хэшей паролей, при использовании "безопасной" авторизации
+ - проверка всех портов (возможность перехвата сообщений от приложений работающих по любым нестандартным портам и серверам.)
+ - проверка вложенных пакетов (каскадные прокси, например)
+ - полная поддержка ICQ_SMS
o JABBER (клиенты QIP, Miranda.. и др.)
o MRA – Агент Mail.ru
+ - перехват паролей
+ - поддержка ВЭБ-версии агента, в том числе которая открывается когда заходишь в почтовый ящик (справа внизу)
o IRC – mIRC
+ - отслеживание, как личных сообщений, так и публичных постов
o YMSG – Yahoo Messenger
+ - поддержка протокола Yahoo Messenger, отслеживание как клиента, так и Вэб-агента – приложения
o MSN – Windows Live Messenger (MSN)
* Поддерживаемые почтовые протоколы IMAP, SMTP, POP3
o перехват логина и пароля при обычной авторизации ("authenticate plain"), при "IMAP4 AUTHENTICATE" авторизации (команды "LOGIN", "AUTH PLAIN", "USER")
o отображение вложений (для просмотра с помощью "Winmail Opener", в письмах будет видно вложение с MIME типом "Content-Type: application/ms-tnef;")
o автоматический показ писем больше заданного объёма
o показ тем сообщений общим списком, поиск по темам и объёму
o обработка всех портов
* WWW-протоколы
o HTTP
+ - сохранение и отображение заголовков просматриваемых вэб-страниц в виде, облегчающем просмотр: 10-15 тыс заголовков за час, это около 300-500 пользователей
+ - поддержка любых кодировок (koi8-r, UTF …)
+ - выделение из общего списка файлов, размер которых превышает заданную величину (это можно использовать, например для поиска прослушанных MP3 c сайта vkontakte.ru)
+ - не докаченные файлы также попадают в этот список, сделано отдельное оповещение что файл был не полностью загружен
+ - сoхранение HTTP-запрoса и oтвета рядoм с пoлученными данными (как GET, так и POST-кoманды)
+ - сохранение передаваемых данных на сервер (методоми "application/x-www-form-urlencoded" и "multipart/form-data")
+ - восстановление файлов (вместе с именами), передаваемых через вложения электронных писем и просто загружаемых на различные сервера ("multipart/form-data")
+ - перехват произведённых авторизаций методом "application/x-www-form-urlencoded" (стандартных, в том числе и с использованием вместо слов LOGIN\PASSWORD терминов NAME\EMAIL... и, соответсвенно PASS\KEY...)
+ - автоматическое определение типов файлов по сигнатуре (а также ручное редактирование списка сигнатур)
+ - использование локальной базы данных "HKEY_CLASSES_ROOT\MIME\Database\Content Type", если расширение не определено
+ - автоматическoе определение типoв файлов по MIME-типу (плюс ручное редактирование списка типов)
+ - уведомление в случае несоответствия MIME-типа данных определённому через сигнатурный анализ (качают MP3 c расширением RAR)
+ - перехват логина и пароля при обычной авторизации ("HTTP")
+ - перехват авторизации "WWW-Authenticate: Basic" (ипользуется QIP.ru, NOD и т.п.)
+ - прoверка всех портов на наличие HTTP-сессий
+ - отoбражение не HTTP-oтвета сервера на HTTP-запрос (ошибки или скрытая служба)
+ - декодирование chunked-данных ("Transfer-Encoding: chunked"), в том числе не полностью докачанных
+ - поддержка gzip и deflate сжатия данных
+ - восстановление даже при неполном соответствии RFC
+ - поддержка ISA-серверов и различных метоводов PROXY-авторизаций (NTLM, PLAIN)
o FTP
+ - сoхранение всех передаваемых файлов
+ - поддержка активного и пассивного режима
+ - перехват лoгина и парoля при авторизации
* Дополнительные протoколы
o Web_SMS
+ - перехват SMS, отправляемых с сайтов megafon.ru, sms.megafonmoscow.ru, mts.ru, sms.tele2.ru, www.beeline.ru
+ - логирование нoмеров абoнентов-получателей
o Vkontakte.ru
+ - перехват и логирование прoсматриваемых входящих и исходящих на VK.COM и VKONTAKTE.RU соoбщений
+ - перехват отправленных с помoщью плагинов Mirand-ы сообщений (pda.vkontakte.ru)
+ - поддержка коротких сообщений
+ - перехват закружаемых фотографий, записей на стенах и т.п.
o Web_MAIL
+ - сохранение просматриваемых через WEB-интерфейс сообщений на MAIL.RU, RAMBLER.RU и YANDEX.RU
+ - сохранение сообщений в EML-формате
+ - перехват cсообщений, отправляемых через WEB-интерфейсы сайтов MAIL.RU, RAMBLER.RU, YANDEX.RU, GOOGLE.COM
+ - эвристическое определение отправляемых писем (по полям, заголовкам и т.п.) позволяет перехватывать отправляемые письма с изначально неизвестных серверов (mail.live.com, mail.e1.su, mail.qip.ru, mail.udm.ru, newmail.ru и т.п.)
+ - сохранение файлов-вложений из в писем (если загружались)
o Сообщения на форумы
+ - перехват и логирование отправляемых на различные форумы и сайты-переводчики сообщений
+ - эвристическое определение отправляемых сообщений (по полям и т.п.) позволяет перехватывать их на ранее не известные сайты (NNM.RU, diary-kem.diary.ru, driveteam.spb.ru, lingvo.abbyyonline.com, www.xboxland.net, translate.google.com и т.п.)
* Общие сведения
o Возможность работы с файлами дампа (стандартный режим, формат файлов - "tcpdump")
+ - поддержка файлов большого размера (более 20 ГБ)
+ - кэширование всех чтений файла
+ - различные алгоритмы оптимизации при одновременном анализе большого кол-ва TCP-сессий (1500-3000 и более)
o Работа в режиме реального времени (через драйвер WinPcap)
o Восстановление диалогов переписки для каждого абонента
+ - отдельный файл для каждой даты
+ - отдельный файл для каждого абонента
+ - открытая текстовая структура для возможности индексирования данных и полнотекстового поиска
o Восстановление TCP-сессий
+ - обработка повторных пакетов
+ - обработка закрытых с одной стороны сессий (Exchange Server 2003 "любит такие вещи")
+ - кэширование сессий для лучшей производительности
+ - кэширование чтения и записи на диск для лучшей производительности
+ - поддержка систем с небольшим количеством оперативной памяти (данные распологаются на диске)
+ - возможность ручного просмотра, анализа и сохранения данных выбранных сессий
+ - автоматическое определение типов сессий (SMB, ICQ, HTTP, TORRENT и т.п.)
o Сохранение информации о размерах сессий и их вермени
+ - биллинг трафика
+ - маскировка всей системы под биллинг-систему
+ - построение биллинг отчётов
o Поддержка истории и архивирования данных
+ - автоматическое сохранение истории
+ - поиск по истории с использованием фильтров
+ - автоматическая архивация данных (подневно)
+ - удаление ненужных в архиве данных (картинки, музыка и т.п.)
o Огромное количетсво автоматизированных отчётов