自动还原pcap数据包中文件的几种方法

最新推荐文章于 2023-04-20 19:56:28 发布
最新推荐文章于 2023-04-20 19:56:28 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: Pcap网络数据包处理方法大全 文章标签: pcap 文件还原 scapy tshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/javajiawei/article/details/124072352
版权
本文详细介绍了如何使用Wireshark和Python进行pcap数据包中的文件还原。Wireshark虽然能识别部分文件,但有时需要手动或自动还原。手动还原可通过Wireshark的图形界面完成,而自动还原可以使用tshark命令或Python的Scapy库。通过Scapy,可以解析HTTP数据包并处理gzip压缩和chunk编码,根据content-type为文件命名,实现不同类型的文件还原。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文介绍如何使用wireshark和python分别对pcap数据包中的文件内容进行自动和手动的还原。

wireshark在分析数据包的时候,常常会遇到一些wireshark自身无法解码的数据内容,如下图1所示:
在这里插入图片描述
图1

这些内容可能是中文编码的文件,图片,视频,往往需要特定的解码软件打开。比如html中如果存在GB2312的中文编码内容,在wireshark中是没法显示的,需要还原成为html格式的文件,使用chrome浏览器打开即可正确的显示。我在这篇文章中曾罗列了众多wireshark中乱码的可能原因,见这里

图1中图片文件,wireshark也只能解析部分的头部字段,只能显示图片的16进制信息,需要依赖图片解码软件进行显示,视频,office等特定的软件同理。在我前面的文章中讲述了使用wireshark lua插件进行图片,视频,证书等文件内容的提取,见

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Wireshark lua 插件提取PCAP报文中文件,图片,视频
村中少年的专栏
01-08 7122
Wireshark提取离线包数据中的文件图片、视频等信息,通过wireshark lua插件来实现
pcap文件还原文件
热门推荐
公众号shadow sock7
06-06 1万+
1原来我也是可以做这种题的啊哈哈, 直接从wireshark中显示raw,然后只显示一端向另一端发的数据,然后保存为某文件,然后用hex编辑器(比如010 Editor,或者Windows上的winhex)打开,去除掉无关的内容,然后保存。 保存之后,由于流量中显示该文件.tar.gz结尾,于是➜ ~/Downloads/ctf_wireshark tar -xvf isg2014_x
[pcap1] 文件恢复
ACdream
05-28 1366
学习资料来源:http://blog.51cto.com/yttitan/1737904这记录一下自己觉得重要的过程首先需要过滤包:http.request.method==POST,因为我们是需要从中恢复出上传的文件拖动下发现209号包格式不同,且有Upload image,打开分析在应用层:在传输层:这可以看到,由于文件比较大,所以拆分成了16个帧进行文件传输于是,可以选择209号包进行T...
利用WireShark将pcap数据流还原文件
菜鸟-传奇
03-04 3045
利用WireShark将pcap数据流还原文件 使用工具: WireShark WinHex 1.打开pcap文件 2. 对数据流进行筛选 利用ctrl+f打开或Edit/编辑查找分组选择分组字节流、字符串,筛选框输入“jpg"回车查找,得到筛选后的数据流 3. 追踪流 选择任意结果的一行右键->追踪流->TCP流 4. 得到结果如图 修改“显示和保存数据为”-——原始数据另存为...
利用WireShark将pcap还原PDF文件
zhaojie0708的博客
06-30 1795
1、wireshark抓包,过滤http协议,可以看到get 2017_PDF.pdf 2、追踪此数据流,选择服务器-客户端方向 3、存储为pdf文件 4、使用winhex或者其他hex工具,打开刚才存储的1212.pdf文件,同时打开一个正常的pdf文件进行对比 1)正常pdf开始字段:以25 50 44 46开始 2)打开1212.pdf,查找25 50 44 46字段,删除这个字段之前的无效数据,保存 5、打开1212.pdf则正常显示pdf内容 6、其他格式文件方法类似 7、附录个文件he
工具--wireshark--从抓的pcap中,读取http下载的文件,进行还原还原为二进制文件
我不是庸医
07-22 1674
两种方法: 每种方法都依赖于wirshark的自解码能力 wirehsark对于http可以解码的 比如一个分片包,get,然后服务其下载,返回200OK 方法1:选中最后这:200 OK的包的文件内容部分,导出 方法2:复制200OK,文件的部分,使用python的hex 转 bytes功能,写入文件,打开文件时,注意要用“wb”模式 ...
tshark 操作后保存为pcap数据包
呆萌的代Ma
08-16 1905
具体操作请参考:https://www.wireshark.org/docs/man-pages/tshark.html 使用如下代码即可: tshark -r 源数据包.pcap -w 保存名称.pcap -F pcap 案例 删除网关数据包并保存: tshark -r 源数据包.pcap -Y ip.dst!=192.168.1.1 -Y ip.src!=192.168.1.1 -w 保存名称.pcap -F pcap ...
用于sip通话pcap音频
最新发布
03-21
标题中的“用于sip通话pcap音频”表明这是一个与网络通信协议SIP(Session Initiation Protocol)和网络数据包捕获工具pcap相关的主题。在IT领域,SIP是一种用于建立、管理和终止多媒体通信会话(如语音和视频通话)...
PCAP报文中图片视频自动还原技术详解
自动还原PCAP报文中的图片和视频是一项专业技能,它涉及到网络数据分析、协议分析以及文件还原技术。在本例中,我们将利用Wireshark——一款广泛使用的网络协议分析工具,以及Lua脚本——一种轻量级的脚本语言,...
PCap数据包解析:从二进制到易理解信息的转换艺术
本文对PCap数据包解析进行了全面的探讨,首先介绍了PCap数据包文件结构和捕获机制,包括文件头组成、数据包记录头信息以及数据链路层和网络层的捕获技术。接着,文中详细讨论了PCap解析工具和库的应用,例如...
原始pcap文件
10-07
《使用libpcap库过滤pcap文件中的数据包》文章中使用的原始输入文件
数据包还原
06-13
用于网络数据包的初步还原,同时也可以供新手学习
HTTP数据包截获与还原
11-25
本文介绍应用层HTTP数据包的截获与还原技术的实现,并简要介绍其中所涉及的数据包截获、数据包分析、应用数据重组以及数据包解码等关键技术。该系统可以监听网管人员感兴趣的数据包,通过对其进行分析和研究,分析出其遵守的协议以及其应用层数据,恢复到被监视用户所看到数据的格式。该系统的实现,为网管人员有效地管理网络提供了一种直观的工具
Winpcap数据包的抓取及还原
For free
01-26 9793
winpcap技术手册,除了安装文件doc文件下有个帮助,这在给一个:http://www.ferrisxu.com/WinPcap/html/index.html 这我们用pcap_next_ex 函数抓取到数据包后,我们就要开始提取其中的关键信息了,这我保存在了pkt_data,之后又传到了处理函数中 代码如下,我也已经写的很清楚了。其中MAC地址是在数据链路层获取的,其他的诸如
WinPcap还原HTTP
Taylor05的专栏
03-16 7759
WinPcap简介WinPcap是Win32平台上开源库,用于网络分析和数据包捕获。操作系统提供的socket,隐藏了网络底层细节,如协议处理,数据包重组等,使用Socket编程类似于操作文件。但是,有些应用程序需要直接访问网络的原始数据,比如Http分析工具,网络监控工具等等,此时操作系统提供的Socket就无法满足我们的要求了。WinPcap可以直接捕获网络中原始数据,主要功能如下:1.         捕获原始数据,既可以捕获本机数据包,还可以捕获传输给其它机器的数据包;2.         根据
从配置Winpcap环境(dev c++)到运行HTTP数据包捕获还原
lsm1227msl的博客
04-20 1500
2.打开Dev c++,工具——》编译选项——》编译器配置——》目录——》库,点击红框处添加Winpcap开发包中的Lib文件夹。链接:https://pan.baidu.com/s/155x_BiCf-O0gNLk29_nTWw?4.新建一个空项目,点击“项目”——》"项目属性",依照下图添加wpcap.lib和WS2_32.lib。3.继续向"C包含文件"和"C++包含文件"中添加开发者包中的Include文件夹。我的环境:WindosXP虚拟机 , Dev C++
Python处理pcap文件
qq_36450004的博客
07-14 4780
利用python处理pcap文件
Python安全工具编写-pcap流量包重放
beirry的博客
12-15 5776
最近因为log4j漏洞,工作量急剧增加,卑微小乙没日没夜地进行应急处理,为了能测试是否能检测到log4j攻击,我专门写了一个脚本,当然这个脚本也不只是检测log4j,只要是pcap包放在指定目录下则可以重放。 我写脚本的时候总喜欢先确认功能点,毕竟这是我们写代码的前提了。 功能点:将指定目录中所有pcap文件全部找出重放 1,找到指定目录(pcaps)中所有pcap文件 def find_pcap(dir,filelist): for i in os.listdir(dir):#将目录下所有内容拉出来判断
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值