一、内容
手机和pc连接同一个子网(热点),传输文件的流量分析。(本次以传输图片作为复现wp)
二、准备工具
wireshark、winhex (未下载可搜其官网 )、在qq进行。
三、过程
3.1 手机电脑连上同一个WiFi,打开wireshark,选择WLAN(无线网络),正在不断捕获这个子网的数据
3.2 想要看手机和pc之间的数据传输,需要过滤,过滤公式:,ip.src==(手机ip),下一步,因为此时没有数据传送,当前无捕获。
3.3 当用户端(手机)发布数据(图片)时,开始传输数据,待数据传输完成,再停止(如停止太早则可能传输后恢复不完整),选中数据进行追踪。
*选择TPC协议。(未截图)可以保障数据完备 。
3.4 经分析得到的一般为ASCII码制,但我们需选中捕获原始(data)数据,再另存此数据流(本图片)为jpg格式。
为方便查看,放在桌面,点开但无法查看。
3.5 打开winhex,打开刚刚的图片文件
打开后,在一大串十六进制码里找到刚刚我们的jpg文件头(在十六进制中表现为FF8D),删除(delete)此前的所有数据,显示出jpg。
delete
删除完成后,点击保存 ,回到在桌面查看,已经恢复图片,点开查看
完成。
四、小结
1、了解wireshark的数据流追踪;
2、熟悉winhex的文件恢复过程;
3、注意公共网络的信息安全(敢发也要承受别人可以复现的风险)。