侧边栏

利用WireShark将pcap数据流还原文件

利用WireShark将pcap数据流还原文件

使用工具: WireShark WinHex

1.打开pcap文件

2. 对数据流进行筛选

利用ctrl+f打开或Edit/编辑查找分组
选择分组字节流、字符串,筛选框输入“jpg"
回车查找,得到筛选后的数据流

3. 追踪流

选择任意结果的一行右键
->追踪流->TCP流

4. 得到结果如图

修改“显示和保存数据为”-——原始数据
另存为
选择路径, 图片后缀名为.jpg

得到的图片但是打不开

5. 打开WinHex

选择文件->打开->选择刚刚保存的jpg文件

 

因为正常jpg文件是从“FF D8 FF E0 00…”开始的
所以我们将“FF D8 FF E0 00…”前面的数据都删除掉

6. 保存修改后的文件 打开图片

完成

posted @   菜鸟-传奇  阅读(1156)  评论(0编辑  收藏  举报
相关博文:
· Wireshark软件使用教程
· 如何将图片转化为base64编码格式显示
· 如何使用wireShark的追踪流功能抓取并还原文件
· wireshark图片还原
· flag_universe---攻防世界
阅读排行:
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· Manus爆火,是硬核还是营销?
· 终于写完轮子一部分:tcp代理 了,记录一下
· 【杭电多校比赛记录】2025“钉耙编程”中国大学生算法设计春季联赛(1)
历史上的今天:
2019-03-04 软考自查:数据结构及算法应用
2019-03-04 软考自查:面向对象设计
点击右上角即可分享
微信分享提示