Предположим, у меня есть журнал трафика Wireshark с веб-сайта.
Могу ли я восстановить различные элементы, такие как файл HTML, файлы изображений, файлы сценариев Java и т.д.?
В идеале это будет файл .pcap и автоматическая генерация отдельных файлов.
3 ответа
1
Я наткнулся на эту статью, которая, кажется, описывает, как делать то, что вы пытаетесь сделать:
https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/
1
Почему вы хотите сделать это таким образом? Что-то не совсем без уровня?
Лично я не видел никакой программы, как то, что вы описываете.
Если подумать об этом, это будет довольно трудная задача, и лучше всего ее получить из резервных копий исходных данных. Захваченные пакеты, вероятно, не будут в том же порядке из-за оконного режима и повторных передач и тому подобного.
Я мог бы потратить время и усилия в зависимости от базовой ценности информации, которую вы пытаетесь создать (например, криминальные или криминалистические вопросы).
1
При условии, что клиент использовал новый поток TCP для каждого загруженного элемента, вы можете сделать это с помощью wireshark.
Используйте опцию Follow TCP Stream в меню правой кнопки мыши на каждом из потоков TCP. Это даст вам каждый пакет, участвующий в этом сеансе. В нижней части диалогового окна измените раскрывающийся список "Весь разговор", чтобы он включал только трафик с сервера на клиент.
Затем вы можете сохранить как Raw, выбирая подходящее имя файла каждый раз.