wireshark文件还原

Wireshark的功能上来看，只是监听网络流量信息并完整的记录下来，起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。本节使用的是winhex的评估版本，可以满足本实验需要。如果想对winhex有更深层次的了解，建议去官方网站上进行详细了解。

实验情景：

  黑客A通过ARP欺骗，使用wireshark获取了整个局域网内的网络流量信息。无意之中，他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件，没办法，他将监听到的数据包保存为了一份wireshark的监听记录，将通过以下三个任务完成那份上传文件的还原。

打开桌面上的实验数据包

使用wireshark的filter模块对数据包进行过滤

观察过滤的数据包，看到upload怀疑是上传页面

进一步过滤post数据包

确定post包是否上传了文件，如果上传了文件则将数据dump下来

进一步分析数据包，发现确实是上传了文件

并且由于数据包较大，TCP协议对其进行了切片，分成了5个片，点击frame可以看到每个片的内容，通过wireshark的流式会话将其还原，可以直接在一个包里面看到所有数据

由于其中包含了服务器响应部分，将其过滤为只剩请求

保存原始文件，现在信息原始信息文件已经拿到，选择raw类型表示用二进制方式保存

将保存的原始文件用winhex打开

可以看到里面是有多余的请求信息等，通过wireshark可以看到，在图片数据前面有两个换行符，换行符用十六进制表示是 0D 0A.因为有两个，所以，我们在图片附近寻找0D 0A 0D 0A.后面的部分就表示图片的开始。

这个时候需要去掉多余的信息，从数据最开始处按住alt+1开始选择，一直到0A这里，按alt+2表示选取结束（直接用鼠标选择也可以），按住del删除多余数据包

然后在到数据尾部，有一个换行符，同样删除掉

然后ctrl+s保存

将文件改名为png后缀打开

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！