VideoSnarf
by admin on Jul.08, 2010, under Hacking, Linux, Sicurezza, Tools, VoIP
VideoSnarf è un recente tool di assessment, dovuto agli stessi autori di UCSniff , tool che assume come input un file pcap, e produce in output distinti files video per ogni media stream rilevato, sia relativamente ai più comuni codecs audio che per quanto riguarda il codec video H264.
Ciò rende possibile la cattura di sessioni video con tools differenti (ettercap, wireshark), e la loro visualizzazione differita, senza il vincolo di dover usare necessariamente l’intero UCSniff.
Per esempio, per vari motivi, alcuni potrebbero preferire usare Ettercap insieme al loro sniffer favorite (tshark/Wireshark) per la cattura, oppure, per scelte aziendali potrebbero essere obbligati ad utilizzare uno sniffer dedicato, desiderando tuttavia ricostruire il traffico tramite il trace file pcap così ottenuto.
VideoSnarf è il primo tool in grado di rilevare sessioni RTP codificate col codec video H.264, e di produrre in output raw files H264.
VideoSnarf supporta inoltre i codecs audio più comunemente usati: G711ulaw, G711alaw, G722, G729, G723, e G726.
Il software VideoSnarf è disponibile sia sotto forma di packages di tipo deb che sotto forma di source tarball nella sezione download del progetto UCSniff:
Una volta scaricata quest’ultima in una directory di nostra scelta, la sequenza di comandi è la classica:
# tar xvzf videosnarf-0.63.tar.gz
# cd videosnarf-0.63
# ./configure
# make && make install
L’utilizzo di VideoSnarf è estremamente semplice. Una volta salvate le sessioni RTP in un file formato pcap, basta eseguire videosnarf -i filename.pcap. Ciò determina la generazione di files h264 ed altri audio codec files.
In pratica si ottiene la creazione automatic di due files in formato avi (video forward e video reverse) con H.264 Video codec
Nel tarball dei sorgenti, nella directory di nome “pcap”, è presente un file pcap di test sul quale sperimentare il tool:
# cd pcap
# ls
7985-ucsniff.pcap
# videosnarf -i 7985-ucsniff.pcap
Starting videosnarf 0.63
[+]Starting to snarf the media packets
[+] Please wait while decoding pcap file…
added new stream. :172.16.99.61(20032) to 172.16.96.22(20008). codec is 09
added new stream. :172.16.99.61(20034) to 172.16.96.22(20010). codec is 61
added new stream. :172.16.96.22(20008) to 172.16.99.61(20032). codec is 09
added new stream. :172.16.96.22(20010) to 172.16.99.61(20034). codec is 61
[+]Stream saved to file G722-media-1.wav
[+]Stream saved to file H264-media-2.264
[+]Stream saved to file G722-media-3.wav
[+]Stream saved to file H264-media-4.264
[+]Number of streams found are 4
[+]Snarfing Completed
# ls -l
total 900
-rwx—— 1 root root 446434 2010-05-15 19:40 7985-ucsniff.pcap
-rw-r–r– 1 root root 81960 2010-07-08 00:26 G722-media-1.wav
-rw-r–r– 1 root root 79400 2010-07-08 00:26 G722-media-3.wav
-rw-r–r– 1 root root 187169 2010-07-08 00:26 H264-media-2.264
-rw-r–r– 1 root root 115659 2010-07-08 00:26 H264-media-4.264
# file H264*
H264-media-2.264: JVT NAL sequence, H.264 video, baseline @ L 13
H264-media-4.264: JVT NAL sequence, H.264 video, baseline @ L 13
Per visionare i files H264, si può usare mplayer:
# mplayer H264-media-2.264 -fps 10
MPlayer SVN-r29237-4.4.1 (C) 2000-2009 MPlayer Team
[...]
Playing H264-media-2.264.
H264-ES file format detected.
[...]
==========================================================================
Opening video decoder: [ffmpeg] FFmpeg’s libavcodec codec family
Selected video codec: [ffh264] vfm: ffmpeg (FFmpeg H.264)
==========================================================================
Audio: no sound
FPS forced to be 10.000 (ftime: 0.100).
Starting playback...
VDec: vo config request - 352 x 240 (preferred colorspace: Planar YV12)
VDec: using Planar YV12 as output csp (no 0)
Movie-Aspect is undefined - no prescaling applied.
VO: [xv] 352×240 => 352×240 Planar YV12
V: 0.0 148/148 3% 1% 0.0% 0 0
Exiting… (End of file)
