NetworkMiner - 网络取证分析工具

NetworkMiner是Windows的网络取证分析工具（NFAT），您可以将其用作被动网络嗅探器/数据包捕获工具，以检测操作系统，会话，主机名，开放端口等，而不会在网络上传输任何流量。您也可以使用它来解析PCAP文件进行脱机分析，并从PCAP文件重新生成/重新组合传输的文件和证书。

注意： 它也适用于Linux，Mac OSX和FreeBSD。

数据在NetworkMiner中呈现的方式使分析变得更加简单，这也为分析师或法医调查员节省了宝贵的时间。NetworkMiner还允许您搜索嗅探或存储的关键字数据。

自2007年首次发布以来，NetworkMiner已经成为事件响应团队和执法部门的流行工具，NetworkMiner现在已被全世界的公司和组织采用。 ”

它还可以用来提取和保存从YouTube，Vimeo等网站流过网络的媒体文件（如音频或视频文件）以及用户凭证，您可以在“ 凭证 ”标签下找到它们。

支持的文件提取协议如下：

• FTP（文件传输协议）
• TFTP（普通文件传输协议）
• HTTP（超文本传输??协议）
• SMB（服务器消息块）
• SMB2（服务器消息块协议版本2）
• SMTP（简单邮件传输协议）
• POP3（邮局协议3）
• IMAP（Internet消息访问协议）
  NetworkMiner有两种版本：免费版和专业版。专业版提供了Live Sniffing，IPv6支持，PCAP和PcapNG文件解析，GRE，802.1Q，PPPoE，VXLAN，OpenFlow，SOCKS，MPLS和EoMPLS解封装，pcap-over-IP，操作系统指纹识别，端口独立协议识别，将结果导出到CSV / Excel / XML文件，可配置的文件输出目录，地理位置IP本地化，DNS白名单，网络浏览器跟踪，在线广告和跟踪器检测，主机着色支持和命令行脚本支持。

但免费版本仅提供以下功能：实时嗅探，IPv6支持，PCAP文件解析，GRE解封装，802.1Q，PPPoE，VXLAN，OpenFlow，SOCKS，MPLS和EoMPLS，pcap-over-IP和OS指纹识别。