标题 简介 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2020-2597]   作者:future 发表于[2020-03-05]

本文共 [26] 位读者顶过

whireshark 抓包还原文件

拿到手是一个流量包,习惯性先把他扔进kali中分析一下字符串

那么下一步的任务就是先把这个png给分离出来
为了查找更加快速,这里我并没有去搜索flag的字符串而是去搜索png的十六进制文件头,89504E47
定位到了存在png文件头的数据流,然后追踪一下
显示和保存数据处更改为原始数据搜索png的文件头89504E47 文件尾AE426082
一直滑呀一直滑因为不能同时搜索头和尾具体下拉时不知在哪停只能多复制一点(可能存在某种精确快捷的方法我还没get到)
复制到winhex中复制过程中选择ASCII HEX
新建的时候建个1k大小的就可以了在最下面比较好删(0k会报错)
然后搜索文件尾对比在winhex中复制的内容是超出或缺少进行补全

另存为图片png

[出自:jiwo.org]

推荐工具tcpxtact

 安装
kali2019.4自带tcpxtract

apt-get install tcpxtract

使用方法

tcpxtract -f evidence01.pcap

查看恢复文件

 打开文件

说明

该工具提取文件与whire shark 手动提取文件略有区别(不排除受版本影响)但胜在效率够高

whire shark手动提取的文件是一张图片,这个工具分成了两个一个只有一半一张打不开(从结果上看不影响字符的获取)

评论

暂无
发表评论
 返回顶部 
热度(26)
 关注微信