利用WireShark將pcap數據流還原文件

利用WireShark將pcap數據流還原文件

使用工具： WireShark WinHex

1.打開pcap文件

2. 對數據流進行篩選

利用ctrl+f打開或Edit/編輯查找分組
選擇分組字節流、字符串，篩選框輸入“jpg"
回車查找，得到篩選後的數據流

3. 追蹤流

選擇任意結果的一行右鍵
->追蹤流->TCP流

4. 得到結果如圖

修改“顯示和保存數據爲”-——原始數據
另存爲
選擇路徑， 圖片後綴名爲.jpg

得到的圖片但是打不開

5. 打開WinHex

選擇文件->打開->選擇剛剛保存的jpg文件

 

因爲正常jpg文件是從“FF D8 FF E0 00…”開始的
所以我們將“FF D8 FF E0 00…”前面的數據都刪除掉

6. 保存修改後的文件 打開圖片

完成