如何使用wireShark的追踪流功能抓取并还原文件

原创 已于 2023-05-27 21:05:14 修改 · 5.6k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark #测试工具 #网络

于 2023-05-27 13:52:22 首次发布

简介

  • WireShark的追踪流功能可以帮我们抓取从网络上下载的各种文件,接下来就演示下如何抓取并且进行还原。

使用Nginx搭建文件存储服务器

  • 只要是通过http网站下载的包,都可以通过追踪流工具进行抓取。这里为了演示,临时搭建一个Nginx文件存储服务器。
  • 首先我们准备一台Nginx服务器,把默认配置改成这个。这个时候,我们访问对应端口,就不展示网页了,就会展示download目录下的文件。download目录需要我们自己在 /usr/local/nginx下创建,然后把文件放到这个目录下就可以了。download名字可以随便起,只要和配置文件中保持一致就可以。
  •   server {
      listen 10088;
      server_name localhost;

      location / {
              root download;
              autoindex on;
              autoindex_exact_size off;
      }
  }
  • 我上传了一个notepad++安装包和一个证书文件,看下效果。我们访问对应端口,就会展示Nginx服务器上存储的文件。
    在这里插入图片描述

抓取数据包

  • 打开wireShark进行抓取,然后点击安装包,就会自动下载。下载完成后,我们就可以进行分析了。我们直接用http进行过滤。
    在这里插入图片描述
  • 点击客户端发起的第一个GET请求,右键,选择追踪流->TCP流
    在这里插入图片描述
  • 然后就会显示下载文件的所有交互数据流
    在这里插入图片描述
  • 选择底部的Show data as 为 原始数据,然后将数据存储到文件中。
    在这里插入图片描述

还原数据

  • 打开刚才的文件。可以看到,上面是http请求头的一些信息,删除掉,我们保留数据域部分就可以。exe文件默认是MZ开头的,我们只需要将MZ前面的数据全部删除掉后保存文件,然后将文件后缀名命名为exe即可。
    在这里插入图片描述
  • 这个时候就已经还原成功了,可以直接双击这个文件运行。
    在这里插入图片描述

使用二进制编辑器还原数据

  • 为了防止误删数据信息,或者我们不知道文件数据的开头是什么,所以最好用二进制编辑器打开我们刚才保存的数据流文件。我使用的是UltraEdit。
    在这里插入图片描述
  • 一般http请求头与数据域部分会用两个回车进行分割,十六进制是 0D 0A 0D 0A 进行表示。找到0D 0A 0D 0A , 直接把包括0D 0A 0D 0A在内的上面的所有请求头信息删除或剪贴掉,然后重新保存文件,也能还原文件。
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
杨秀璋的专栏
02-28 9118
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。这篇文章将讲解虚拟机基础知识,包括XP操作系统安装、文件共享设置、网络快照及网络设置等,最后分享虚拟机中安装安全软件进行BBS密码抓取的实验。基础性文章,希望对您有所帮助。
通过wirshark抓包处理TCP还原文件
qq_63568472的博客
10-21 3190
想要完成这个实验,我们首先先下载wirshark和winhex这两个软件。Wireshark功能上来看,只是监听网络量信息完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。大家可以直接到官网下载。 做实验之前得确保你的手机和电脑到都连到同一个子网,在电脑上登录QQ,然后打开wirshark,本次实验我们连的的是校园网,所以我们选择WLAN。 在"应用显示过滤器"中输入ip.src==热点的IP地址,针对wireshark最常用的自然是针对IP地址的
Wireshark系列之6 数据追踪
08-17
Wireshark系列之6 数据追踪 一文用到的资源 wireshark
Wireshark抓取HTTPS明文提取其资源内容的配置和操作
最新发布
xingrun的专栏
06-04 1462
Wireshark可解密量。需配置浏览器/系统导出密钥日志文件。:完整传输的PNG、JPEG等文件(通过HTTP等明文协议传输)。:非HTTP协议传输的图片(如WebSocket、自定义TCP)。:需精确提取碎片化传输的图片数据。:通过获取HTTPS会话的。
wireshark分析数据包:追踪
zengliguang的专栏
02-03 1840
打开追踪的界面方法 1方法 2选中数据包,右键弹出菜单根据自己的习惯进行设置。
wireshark:跟踪
热门推荐
OceanStar的博客
11-30 1万+
以应用程序层看到的方式来查看协议是非常有帮助的。也许您正在Telnet中查找密码,或者您正在尝试理解数据。也许你只需要一个显示过滤器来显示TLS或SSL中的数据包。如果是这样的话,Wireshark跟踪协议的能力将对您很有用。 要筛选到特定,请在您感兴趣的/连接的数据包列表中选择TCP、UDP、DCCP、TLS、HTTP、HTTP/2、QUIC或SIP数据包,然后选择菜单项【Analyze → Follow → TCP Stream 】(或使用数据包列表中的上下文菜单)。Wireshark将设置
Wireshark数据抓包还原文件
m0_73936732的博客
10-21 4259
Wireshark数据抓包还原文件
Wireshark TCP数据包跟踪 还原图片 WinHex应用
Radiency的博客
11-26 1985
Wireshark TCP数据包跟踪 还原图片 WinHex简单应用
使用Wireshark抓取QQ图片复原
m0_72647910的博客
10-19 1194
今天写网络渗透测试的第一次作业,学习Wireshark软件抓取QQ聊天发的图片进行复原。同时学习在优快云写文章,开启自己博客编写之路。
通过wireshark 抓包处理tcp还原文本文件以及gizp(tar.gz)
chrycoder的博客
01-18 1万+
工具:wireshark(抓包工具),010editor(十六进制编辑器),7Z(解压缩软件) 场景描述:最近在做一个终端调用(post)平台端的接口(url)来上传文件功能,主要用的是libcurl。为了验证服务器收到的数据是否是正确的,使用wireshark抓包进行文件还原,现将方法记录一下。 1.单一文本文件的查看和还原 上传的文件格式很简单,一个文本文件。抓包后,找到调用...
已知我使用wireshark抓取了一个FTP,该中传输了一个文件,我应该怎么提取这个文件
04-28
引用[1]提到使用CyberChef配合Wireshark来提取和解析TCP/FTP量中的数据包中的文件,尤其是在Wireshark本身无法直接还原的情况下。这说明单独使用Wireshark可能不够,需要其他工具辅助。引用[3]则详细说明了FTP在...
Wireshark】通过wireshark抓取还原文件(以zip为例)
A1_3_9_7的博客
01-12 2448
选中media Type右键, 点击导出分组字节选项。将生成的文件进行命名,需要时什么格式就以什么格式后缀。wireshark打开量包,通过zip关键字查找。,如有侵权,请联系删除。追踪可查看详细信息。
wireshark文件还原
qq_61947585的博客
10-22 3618
wireshark抓取手机QQ发送给电脑的文件将其复现
通过wireshark抓取还原文件(以zip为例)
weixin_68177269的博客
01-11 1546
选中media Type右键, 点击导出分组字节选项。将生成的文件进行命名,需要时什么格式就以什么格式后缀。wireshark打开量包,通过zip关键字查找。追踪可查看详细信息。
wireshark追踪数据
i_feel_good的博客
10-08 889
使用wires hark追踪数据
wireshark使用方式详细解释 捕获过滤器 显示过滤器 捕获模式以及追踪详细解答 一篇文章OK
浩策盾悟
12-08 1万+
Wireshark使用LibPCAP、WinPCAP(现在普遍使用的是Npcap)作为驱动程序,他们提供了通用的抓包接口,直接与网卡进行数据报文交换,WinPCAP本身就是抓包分析工具,Wireshark通过对他进行整合加工丰富出来的产物,所以安装Wireshark的时候会提示我们安装WinPCAP。网络封包分析软件的功能是截取网卡进出的网络封包,尽可能显示出最为详细的网络封包资料,它能够检测解析各种协议,包括以太网、WIFI、TCP/IP和HTTP协议等等。Destination: 目标ip地址。
wireshark使用及数据包文件恢复
hapenl的博客
11-18 4801
网络数据包分析中,wireshark是一款非常好用的工具,它清晰描述了TCP的三次握手以及四次挥手的过程,同时提供详细的协议层的数据分析有助于在做数据包分析更加了解底层结构。以此同时HEX数据不便于文件内容的分析,可借助于01Editer进行数据文件的恢复
Wireshark数据追踪和信息说明
千寻的博客
10-07 1万+
数据追踪 我们的一个完整的数据一般都是由很多个包组成的,查看某条数据包对于的数据的方法:    右键——>追踪    然后就会有TCP、UDP、SSL、HTTP    当你这个数据包是属于哪种,就可以选择对应的 当我们选择了追踪时,会弹出该的完整数据。还有这个数据中包含的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大草原的小灰灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值