wireshark提取流量包中的文件_[技术]Wireshark抓取的数据包提取文件
0x00 簡(jiǎn)介
本期主要會(huì)教大家如何從流量中還原出來(lái)文件。下面我將會(huì)用多種辦法來(lái)講解。
使用系統(tǒng):Kali Linux
0x01 tcpxtract工具網(wǎng)絡(luò)流量提取文件(方法1)
Kali Linux默認(rèn)沒(méi)有安裝該工具,需要自己安裝
安裝命令:
sudo apt install?tcpxtract
使用方法:
sudo?tcpxtract -f filename.pcap
0x02 NetworkMiner工具(Windows系統(tǒng))網(wǎng)絡(luò)流量提取文件(方法2)
安裝NetworkMiner
打開(kāi)PCAP文件
0x03wireshark還原文件網(wǎng)絡(luò)流量提取文件(方法3)
第一種方法:
第二種方法
wireshark在指定的數(shù)據(jù)流中提取文件很簡(jiǎn)單。先選中要提取文件的數(shù)據(jù)包。wrieshark都會(huì)標(biāo)明文件的類(lèi)型。所以我們也就能夠區(qū)分出這是一個(gè)什么類(lèi)型的文件。
選中圖片的數(shù)據(jù)一大行
右鍵,導(dǎo)出數(shù)據(jù)包
0x04foremost工具網(wǎng)絡(luò)流量提取文件(方法4)
還原文件
foremost -v -i filename.pcap
0x05?chaosreader工具網(wǎng)絡(luò)流量提取文件(方法5)
默認(rèn)Kali Linux沒(méi)有安裝工具,需要自行安裝
安裝命令
sudo apt install?chaosreader
還原命令
chaosreader filename.pcap
0x06?binwalk工具網(wǎng)絡(luò)流量提取文件(方法6)
binwalk是一個(gè)很好用的自動(dòng)化分離文件的工具。它的參數(shù)有很多。但是最常用的就是-M和-e
-M? ? ? ? ? ? ? 遞歸掃描一個(gè)文件
-e? ? ? ? ? ? ? ?自動(dòng)提取已知文件類(lèi)型
直接binwalk + 文件名 就是探測(cè)該文件中隱含的其他文件,然后使用命令提取文件
binwalk -e filename.pcap
0x07?binwalk工具網(wǎng)絡(luò)流量提取文件(方法7)
既然自動(dòng)化不能提供我們想要的。那么我們就自己手動(dòng)控制吧。
dd是linux系統(tǒng)上的一個(gè)命令。并不是什么工具。它是用于在一個(gè)指定的塊上拷貝文件。并根據(jù)需要轉(zhuǎn)換。這個(gè)特性很適合我們提取文件。
提取文件的dd命令格式
dd if=源文件名 bs=1 skip=開(kāi)始分離的字節(jié)數(shù) of=輸出文件名
參數(shù)解析:
if? ? ? ? 輸入文件名。即需要從中提取文件的文件
bs? ? ? 設(shè)置同時(shí)讀寫(xiě)塊的大小。這里一般設(shè)置為1即可
skip? ?從文件開(kāi)頭跳過(guò)指定的塊數(shù)后再開(kāi)始拷貝。這個(gè)如果不理解怎么用不用緊張。接下來(lái)配合binwalk就明白了。
of? ? ? ?輸出文件名。即提取完成后拷貝的文件名。
首先先binwalk探測(cè)一下文件。
假設(shè)我要提取箭頭所指的那個(gè)文件。我們可以看到它的DECIMAL的值為16150512。我們構(gòu)建這樣的一個(gè)dd命令
dd if=test2.pcapng bs=1 skip=3040 of=test2.jpeg
總結(jié)
以上是生活随笔為你收集整理的wireshark提取流量包中的文件_[技术]Wireshark抓取的数据包提取文件的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 爱派和平板电脑的区别(ipad和平板电脑
- 下一篇: nproc是什么意思_top/htop内