| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-2597] 作者: future 发表于: [2020-03-05]
本文共 [550] 位读者顶过
whireshark 抓包还原文件
拿到手是一个流量包,习惯性先把他扔进kali中分析一下字符串
那么下一步的任务就是先把这个png给分离出来
为了查找更加快速,这里我并没有去搜索flag的字符串而是去搜索png的十六进制文件头,89504E47
定位到了存在png文件头的数据流,然后追踪一下
显示和保存数据处更改为原始数据搜索png的文件头89504E47 文件尾AE426082
一直滑呀一直滑因为不能同时搜索头和尾具体下拉时不知在哪停只能多复制一点(可能存在某种精确快捷的方法我还没get到)
复制到winhex中复制过程中选择ASCII HEX
新建的时候建个1k大小的就可以了在最下面比较好删(0k会报错)
然后搜索文件尾对比在winhex中复制的内容是超出或缺少进行补全
安装
kali2019.4自带tcpxtract
apt-get install tcpxtract
使用方法
tcpxtract -f evidence01.pcap
查看恢复文件
打开文件
说明
该工具提取文件与whire shark 手动提取文件略有区别(不排除受版本影响)但胜在效率够高
whire shark手动提取的文件是一张图片,这个工具分成了两个一个只有一半一张打不开(从结果上看不影响字符的获取)
