自己真的是很愚笨,参考了很多,才终于了解了。
用 wireshark 写的
也参考了很多大神的写法
http://www.bugku.com/thread-11-1-1.html
也有位大佬补充了一点
http://blog.csdn.net/Sanky0u/article/details/76167670
但考虑可能小白真的白(比如我),所以根据自己的思路再补充一点(做这个真的有点抓狂了,所以想补充)
用wireshark打开之后直接拉到最下面,有个HTTP包,右击——》追踪流——》HTTP
这样子,是有三栏的,最上面是数据包,点一下最后那个HTTP;然后是最下面那一栏(类似于winhex那样的),找到压缩文件的部分;中间那一栏,右键显示字节流分组。
其余的上面分享的两位博主已经描写的很全面了,只是我比较笨,一直找不到显示字节流分组在哪。。。。原理也不是很明白。。。。欢迎大佬指正