wireshark提取流量包中的文件_[技术]Wireshark抓取的数据包提取文件
0x00 簡介
本期主要會教大家如何從流量中還原出來文件。下面我將會用多種辦法來講解。
使用系統:Kali Linux
0x01 tcpxtract工具網絡流量提取文件(方法1)
Kali Linux默認沒有安裝該工具,需要自己安裝
安裝命令:
sudo apt install?tcpxtract
使用方法:
sudo?tcpxtract -f filename.pcap
0x02 NetworkMiner工具(Windows系統)網絡流量提取文件(方法2)
安裝NetworkMiner
打開PCAP文件
0x03wireshark還原文件網絡流量提取文件(方法3)
第一種方法:
第二種方法
wireshark在指定的數據流中提取文件很簡單。先選中要提取文件的數據包。wrieshark都會標明文件的類型。所以我們也就能夠區分出這是一個什么類型的文件。
選中圖片的數據一大行
右鍵,導出數據包
0x04foremost工具網絡流量提取文件(方法4)
還原文件
foremost -v -i filename.pcap
0x05?chaosreader工具網絡流量提取文件(方法5)
默認Kali Linux沒有安裝工具,需要自行安裝
安裝命令
sudo apt install?chaosreader
還原命令
chaosreader filename.pcap
0x06?binwalk工具網絡流量提取文件(方法6)
binwalk是一個很好用的自動化分離文件的工具。它的參數有很多。但是最常用的就是-M和-e
-M? ? ? ? ? ? ? 遞歸掃描一個文件
-e? ? ? ? ? ? ? ?自動提取已知文件類型
直接binwalk + 文件名 就是探測該文件中隱含的其他文件,然后使用命令提取文件
binwalk -e filename.pcap
0x07?binwalk工具網絡流量提取文件(方法7)
既然自動化不能提供我們想要的。那么我們就自己手動控制吧。
dd是linux系統上的一個命令。并不是什么工具。它是用于在一個指定的塊上拷貝文件。并根據需要轉換。這個特性很適合我們提取文件。
提取文件的dd命令格式
dd if=源文件名 bs=1 skip=開始分離的字節數 of=輸出文件名
參數解析:
if? ? ? ? 輸入文件名。即需要從中提取文件的文件
bs? ? ? 設置同時讀寫塊的大小。這里一般設置為1即可
skip? ?從文件開頭跳過指定的塊數后再開始拷貝。這個如果不理解怎么用不用緊張。接下來配合binwalk就明白了。
of? ? ? ?輸出文件名。即提取完成后拷貝的文件名。
首先先binwalk探測一下文件。
假設我要提取箭頭所指的那個文件。我們可以看到它的DECIMAL的值為16150512。我們構建這樣的一個dd命令
dd if=test2.pcapng bs=1 skip=3040 of=test2.jpeg
總結
以上是生活随笔為你收集整理的wireshark提取流量包中的文件_[技术]Wireshark抓取的数据包提取文件的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 爱派和平板电脑的区别(ipad和平板电脑
- 下一篇: nproc是什么意思_top/htop内