利用WireShark将pcap数据流还原文件

利用WireShark将pcap数据流还原文件

使用工具： WireShark WinHex

1.打开pcap文件

2. 对数据流进行筛选

利用ctrl+f打开或Edit/编辑查找分组
选择分组字节流、字符串，筛选框输入“jpg"
回车查找，得到筛选后的数据流

3. 追踪流

选择任意结果的一行右键
->追踪流->TCP流

4. 得到结果如图

修改“显示和保存数据为”-——原始数据
另存为
选择路径， 图片后缀名为.jpg

得到的图片但是打不开

5. 打开WinHex

选择文件->打开->选择刚刚保存的jpg文件

 

因为正常jpg文件是从“FF D8 FF E0 00…”开始的
所以我们将“FF D8 FF E0 00…”前面的数据都删除掉

6. 保存修改后的文件 打开图片

完成