大柚子

这世界不过如此

当用wireshark获取到通信流量后,如何提取其中传输的文件呢?这里小小记录了下使用的几种方法。

wireshark自身功能

首先通过wireshark自身的功能项导出流量包中传输的文件,有如下三种方式。

追踪流

此方适用于所有情况,当文件特别大的情况下,需要分包传输,此时数据分布在多个数据包中,可选用此种方式

选中传输文件数据的其中一个包,点击“鼠标右键”–>”追踪流“–>”TCP流”

导出分组字节流

此方法适用于传输文件比较小,所有数据在一个数据包中。

注:数据字段位置不是固定的,需要自己找到对应数据字段

文件–>导出对象

此方法有局限性,只适用于个别协议http、tftp等,但也比较简单

工具类

binwalk

binwalk是一个很好用的自动化分离文件的工具。它的参数有很多。但是最常用的就是-M和-e


-M              递归扫描一个文件

-e               自动提取已知文件类型

直接binwalk + 文件名 就是探测该文件中隐含的其他文件

这将会自动在当前目录自动生成一个文件夹。里面就是提取出来的文件

foremost

foremost也是Kali中带有的一个自动化文件提取的工具。他的参数也很简单。常用的也就-i,-t,-o


-i       指定输入源文件

-t       指定提取的类型,指定什么类型就只会提取什么类型的文件

-o     指定输出文件夹

不指定类型的话,会自动分类。

总结

总的来说,用wireshark自身来导出流量包中的文件是最好,但是不能自动化,用工具的话可能存在有些问题,但是方便。

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。