Предположим, у меня есть журнал трафика Wireshark с веб-сайта.

Могу ли я восстановить различные элементы, такие как файл HTML, файлы изображений, файлы сценариев Java и т.д.?

В идеале это будет файл .pcap и автоматическая генерация отдельных файлов.

3 ответа3

1

Я наткнулся на эту статью, которая, кажется, описывает, как делать то, что вы пытаетесь сделать:

https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/

1

Почему вы хотите сделать это таким образом? Что-то не совсем без уровня?

Лично я не видел никакой программы, как то, что вы описываете.

Если подумать об этом, это будет довольно трудная задача, и лучше всего ее получить из резервных копий исходных данных. Захваченные пакеты, вероятно, не будут в том же порядке из-за оконного режима и повторных передач и тому подобного.

Я мог бы потратить время и усилия в зависимости от базовой ценности информации, которую вы пытаетесь создать (например, криминальные или криминалистические вопросы).

1

При условии, что клиент использовал новый поток TCP для каждого загруженного элемента, вы можете сделать это с помощью wireshark.

Используйте опцию Follow TCP Stream в меню правой кнопки мыши на каждом из потоков TCP. Это даст вам каждый пакет, участвующий в этом сеансе. В нижней части диалогового окна измените раскрывающийся список "Весь разговор", чтобы он включал только трафик с сервера на клиент.

Затем вы можете сохранить как Raw, выбирая подходящее имя файла каждый раз.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .