| 利用WireShark将pcap数据流还原图片文件 | 您所在的位置:网站首页 › 提取png › 利用WireShark将pcap数据流还原图片文件 |
利用WireShark将pcap数据流还原图片文件
|
使用工具: WireShark WinHex 1.打开pcap文件
完成 |
2. 对数据流进行筛选 利用ctrl+f打开或Edit/编辑查找分组 
选择分组字节流、字符串,筛选框输入“jpg" 回车查找,得到筛选后的数据流 3. 追踪流 选择任意结果的一行右键 ->追踪流->TCP流 
4. 得到结果如图 修改“显示和保存数据为”-——原始数据 另存为
选择路径, 图片后缀名为.jpg
得到的图片但是打不开 
5. 打开WinHex 选择文件->打开->选择刚刚保存的jpg文件
因为正常jpg文件是从“FF D8 FF E0 00…”开始的 所以我们将“FF D8 FF E0 00…”前面的数据都删除掉 
6. 保存修改后的文件 打开图片 
【本文地址】
公司简介
联系我们
| 利用WireShark将pcap数据流还原图片文件 | 您所在的位置:网站首页 › 提取png › 利用WireShark将pcap数据流还原图片文件 |
|
使用工具: WireShark WinHex 1.打开pcap文件
完成 |
| CopyRight 2018-2019 实验室设备网 版权所有 |