[pcap1] 文件恢复

最新推荐文章于 2025-11-04 10:58:57 发布
原创 最新推荐文章于 2025-11-04 10:58:57 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

学习资料来源:

http://blog.51cto.com/yttitan/1737904


这里记录一下自己觉得重要的过程

首先需要过滤包:http.request.method==POST,因为我们是需要从中恢复出上传的文件

拖动下发现209号包格式不同,且有Upload image,打开分析

在应用层:

在传输层:

这里可以看到,由于文件比较大,所以拆分成了16个帧进行文件传输


于是,可以选择209号包进行TCP流的追踪

这里需要去了解一下jpg的文件格式

最低0.47元/天 解锁文章
自动还原pcap数据中文件的几种方法
村中少年的专栏
05-05 2119
使用scapy,tshark,wireshark还原pcap中的文件
Winpcap数据的抓取及还原
For free
01-26 9877
winpcap技术手册,除了安装文件里doc文件下有个帮助,这里在给一个:http://www.ferrisxu.com/WinPcap/html/index.html 这里我们用pcap_next_ex 函数抓取到数据后,我们就要开始提取其中的关键信息了,这里我保存在了pkt_data里,之后又传到了处理函数中 代码如下,我也已经写的很清楚了。其中MAC地址是在数据链路层获取的,其他的诸如
利用WireShark将pcap数据流还原文件
菜鸟-传奇
03-04 3385
利用WireShark将pcap数据流还原文件 使用工具: WireShark WinHex 1.打开pcap文件 2. 对数据流进行筛选 利用ctrl+f打开或Edit/编辑查找分组选择分组字节流、字符串,筛选框输入“jpg"回车查找,得到筛选后的数据流 3. 追踪流 选择任意结果的一行右键->追踪流->TCP流 4. 得到结果如图 修改“显示和保存数据为”-——原始数据另存为...
攻防世界pcap1
weixin_45723896的博客
07-20 2175
得到加密的python代码,并且已经给出了密文,将代码整理,并写出相应的解密代码,根据协议分级,发现数据都在tcp中,过滤tcp流量寻找flag。然后追踪流->tcp流,下载附件,是一个流量。运行代码得到flag。
CTF实战数据解题及思路
最新发布
bdfcfff77fa的博客
11-04 788
1.pcap文件简介pcap文件是常用的数据报存储格式,它是按照特定格式存储的一种文件格式,通过记事本等普通编辑工具打开pcap文件显示为乱码,pcap文件只能使用专业的数据处理软件来打开,例如wireshark等。wireshark可以抓、查看以及另存为cap等。PCAP文件构成PCAP文件由一个PCAP文件头和多个PCAP数据组成,PCAP数据又由数据头和数据内容组成,PCAP总体结构如图 1所示。图1pcap总体结构图(1)文件头。
利用WireShark将pcap数据流还原图片文件
weixin_45256499的博客
12-20 6520
使用工具: WireShark WinHex 1.打开pcap文件 对数据流进行筛选 利用ctrl+f打开或Edit/编辑查找分组 选择分组字节流、字符串,筛选框输入“jpg" 回车查找,得到筛选后的数据流 追踪流 选择任意结果的一行右键 ->追踪流->TCP流 得到结果如图 修改“显示和保存数据为”-——原始数据 另存为 选择路径, 图片后缀名为.jpg 得到的图片但是打不开 打开WinHex 选择文件->打开->选择刚刚保存的jpg文件 因为正常j
pcap文件中还原文件
热门推荐
公众号shadow sock7
06-06 1万+
1原来我也是可以做这种题的啊哈哈, 直接从wireshark中显示raw,然后只显示一端向另一端发的数据,然后保存为某文件,然后用hex编辑器(比如010 Editor,或者Windows上的winhex)打开,去除掉无关的内容,然后保存。 保存之后,由于流量中显示该文件是.tar.gz结尾,于是➜ ~/Downloads/ctf_wireshark tar -xvf isg2014_x
pcap1
qq_53229503的博客
02-06 3589
一、前言本题方向为Misc——GFSJ0963,难度偏简单来源地址:攻防世界(提取码:lyyy。
pcapfix:修复损坏的pcappcapng文件-开源
04-26
1. **全局头部**:在pcap文件格式中,每个文件都以一个全局头部开始,含了关于捕获环境的元信息,如时间戳精度、网络数据的原始大小和数据链路层类型等。当这个头部损坏时,整个文件可能无法正确解析。 2. **...
PcapViz, 在pcap文件上,可视化网络拓扑并收集图形统计信息.zip
09-18
PcapViz, 在pcap文件上,可视化网络拓扑并收集图形统计信息 PcapVizPcapViz可视化网络拓扑结构,并基于pcap文件提供图形统计。 应该可以确定关键拓扑节点或者数据撤离尝试更容易。特性绘制网络拓扑图( 图层 2 ) 和...
利用WireShark将pcap还原PDF文件
zhaojie0708的博客
06-30 2035
1、wireshark抓,过滤http协议,可以看到get 2017_PDF.pdf 2、追踪此数据流,选择服务器-客户端方向 3、存储为pdf文件 4、使用winhex或者其他hex工具,打开刚才存储的1212.pdf文件,同时打开一个正常的pdf文件进行对比 1)正常pdf开始字段:以25 50 44 46开始 2)打开1212.pdf,查找25 50 44 46字段,删除这个字段之前的无效数据,保存 5、打开1212.pdf则正常显示pdf内容 6、其他格式文件方法类似 7、附录个文件he
原始pcap文件
10-07
《使用libpcap库过滤pcap文件中的数据》文章中使用的原始输入文件。
基于Winpcap的邮件还原系统的实现
10-22
随着互联网的普及,SMTP/POP3协议传输方式下的邮件已成为最简便、最经济的通信方式,但许多有害的邮件信息也随之而来。针对这些问题,在VC开发环境下,研究并实现了基于Winpcap的邮件监控及还原系统。该系统设计了多线程模块,可以同时处理50个邮件及附件信息,并对网络数据的捕获、过滤与重组、信头解码、附件处理、信体内容提取等模块进行了算法优化。功能测试和验证结果表明,该系统稳定、可扩展,达到实时性要求。
攻防世界 MISC-pcap1
c868954104的博客
10-16 2156
代码定义了三个加密方法,然后传入要加密的数据和要加密的次数后,每次加密在加密列表中随机挑选一个加密加密方法进行加密,并在加密结果字符串前加上当前加密方法在列表中的索引值+1。rot13加密函数本身也是解密函数,直接放在这里就行了base64就直接使用模块中的解密方法,凯撒密码,由于这里都是固定偏移3位,直接将偏移改为-3即可。然后解密相同的次数,根据每次要解密的数据第一位数字判断要用的解密方法即可。得到一个python文件,打开,里面是一段加密逻辑和加密后的数据。加密数据填入之前文件里的加密数据。
PCAP01介绍和STM32模拟SPI驱动
qq_43547520的博客
08-20 7962
电容测量芯片PCAP介绍和代码
WinPcap还原HTTP
Taylor05的专栏
03-16 7828
WinPcap简介WinPcap是Win32平台上开源库,用于网络分析和数据捕获。操作系统提供的socket,隐藏了网络底层细节,如协议处理,数据重组等,使用Socket编程类似于操作文件。但是,有些应用程序需要直接访问网络的原始数据,比如Http分析工具,网络监控工具等等,此时操作系统提供的Socket就无法满足我们的要求了。WinPcap可以直接捕获网络中原始数据,主要功能如下:1.         捕获原始数据,既可以捕获本机数据,还可以捕获传输给其它机器的数据;2.         根据
从配置Winpcap环境(dev c++)到运行HTTP数据捕获还原
lsm1227msl的博客
04-20 1581
2.打开Dev c++,工具——》编译选项——》编译器配置——》目录——》库,点击红框处添加Winpcap开发中的Lib文件夹。链接:https://pan.baidu.com/s/155x_BiCf-O0gNLk29_nTWw?4.新建一个空项目,点击“项目”——》"项目属性",依照下图添加wpcap.lib和WS2_32.lib。3.继续向"C含文件"和"C++含文件"中添加开发者中的Include文件夹。我的环境:WindosXP虚拟机 , Dev C++
pcap文件理解
qq_54122067的博客
05-26 1万+
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据抓获的时间,记录方式是记录从格林尼治时间的1970年11日 00:00:00 到抓时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
PCAP文件修复
03-31
### 如何修复损坏的 PCAP 文件 对于损坏的 PCAP 文件,可以采用手动方法或借助专用工具来完成修复工作。以下是关于如何修复这些文件的具体说明: #### 方法一:使用 `pcapfix` 工具 `pcapfix` 是一款专为修复损坏的 PCAPPCAPNG 文件设计的开源工具[^3]。它可以检测并修复文件中的全局头部和数据头部问题,从而确保文件的完整性和可用性。 - **特点** - 支持多种常见格式(如 `.pcap` 和 `.pcapng`),具备良好的兼容性[^2]。 - 提供高效的修复能力,适用于批量处理大量损坏文件。 - **安装与使用** 需要先安装 `pcapfix` 工具。具体操作如下: ```bash git clone https://github.com/rfetick/pcapfix.git cd pcapfix make sudo make install ``` 运行修复命令时,需指定输入文件路径以及输出保存位置: ```bash pcapfix input_file.pcap output_file_fixed.pcap ``` 此过程会自动检测并尝试修复文件中的错误,最终生成一个新的、可被 Wireshark 等工具解析的 PCAP 文件。 --- #### 方法二:手动修复 如果不愿意依赖第三方工具,则可以选择手动方式调整文件结构。这通常涉及编辑 PCAP 的全局头部或数据头部分[^1]。然而,这种方法较为复杂且容易出错,因此仅推荐给熟悉 PCAP 文件内部结构的技术人员。 --- #### 注意事项 在执行任何修复之前,请务必备份原始文件以防进一步损害。此外,虽然某些情况下可以通过上述手段成功恢复数据,但对于严重破坏的数据流而言,完全还原可能并不总是可行。 ```python import subprocess def fix_pcap(input_path, output_path): try: result = subprocess.run(['pcapfix', input_path, output_path], check=True) print(f"File fixed successfully! Output saved to {output_path}") except Exception as e: print(f"An error occurred while fixing the file: {e}") # Example usage of function input_file = 'damaged_capture.pcap' output_file = 'repaired_capture.pcap' fix_pcap(input_file, output_file) ``` 以上脚本展示了如何利用 Python 调用 `pcapfix` 命令实现自动化修复流程。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值