Wireshark lua 插件提取PCAP报文中文件,图片,视频

最新推荐文章于 2024-08-08 07:44:43 发布
最新推荐文章于 2024-08-08 07:44:43 发布
阅读量6.8k 收藏 14
点赞数
分类专栏: Wireshark从入门到精通 文章标签: wireshark 还原图片 提取文件 wireshark插件 还原视频
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javajiawei/article/details/103898084
版权
本文详细介绍了如何使用Wireshark Lua插件提取PCAP报文中的数字证书、图片和视频。通过SSL协议报文为例,展示了提取网站证书文件的过程,并提供了经过验证的Lua代码。Wireshark的报文重组能力简化了数据拼接工作,适用于HTTP、HTTPS等多种协议,支持常见图片和视频格式。对于乱序报文,可通过分析并调整报文顺序再进行文件还原。
摘要由CSDN通过智能技术生成

本文将介绍一种简单高效的方式提取 PCAP 报文中的文件,将通过PCAP报文中数字证书、图片、视频等为例进行讲述,作为我的专栏《wireshark从入门到精通》中的一篇。

首先简单说明一下报文中这些文件,图片视频的产生过程。整体的原理其实很简单,就是数字证书、图片以及视频这些文件以二进制存储在发送端。按照顺序从文件的开始,顺序传输给通信的另一方,直到文件的结束。这里面可能隐含一个问题就是,主机字节序和网络字节序之间的转换问题。即传输前将主机字节序转换为网络字节序进行传输,在接收到数据之后,会自动的将网络字节序转换为主机字节序。这个过程对于我们来说是透明的,至于我们处理本机离线的PCAP报文并不需要过多的关注。只需要把传输过程中产生的pcap格式头以及传输过程中的协议数据去除之后,将剩余部分按照二进制的形式存储下来,就可以得到发送端的文件内容。如果能够知道是文件类型,加上相应的后缀名,使用相应的程序就可以打开。

在阅读本文之前,你也许遇到过还原文件信息的场景,你可能使用的是 C 语言、Python 或者 Java 来做这种工作,这对于问题的处理并不容易。通常的做法是首先要定位数据的起始,然后去除报文的协议头部数据,定位到真实文件数据的偏移。然后根据 TCP 中数据的偏移,按照顺序将数据包一个个拼接起来。最后还要定位文件数据的结束为止。上述过程中不能出现任何错误数据的定位。如果出现乱序,你的程序很大程度上并不能完成工作。

通过本专栏的学

了解本专栏 订阅专栏 解锁全文 超级会员免费看
村中少年
关注
专栏目录
订阅专栏
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
pcap2wav:从pcap(RTP)提取WAV
05-01
pcap2wav 从pcap文件(RTP)以WAV格式提取音频 支持的编解码器: PCMA PCMU 要求 nodejs> = 8.0.0 tshark 2.4.5 袜14.4.2 安装 npm i pcap2wav 使用 const { pcap2wav } = require ( 'pcap2wav' ) ; const options = { pcap : '/absolute/path/to/pcap/file.pcap' } ; const { success , wav } = await pcap2wav ( options ) ; console . log ( success , wav ) ; // => true, '/absolute/path/to/wav/file.wav' 范围 一种 描述 选项 object 参数 options.pcap
H264Extractor Wireshark 插件: 快速指南与最佳实践
最新发布
gitblog_01027的博客
08-08 779
H264Extractor Wireshark 插件: 快速指南与最佳实践 h264extractorwireshark plugin to extract h264 or opus stream from rtp packets项目地址:https://gitcode.com/gh_mirrors/h2/h264extractor 项目介绍 H264Extractor 是一款专为Wiresha...
使用Wireshark提取流量图片方法
imtech的博客
11-23 3715
第一种方法最简单最全面,应该不会有遗漏,第二种的话可以快速显示一张图片。第三个办法是舍近求远,简单事情复杂化的办法。不过通过这个过程可以理解文件类型、文件开头结尾内容;使用winhex编辑文件等过程,也挺好玩的。t=N7T8国人事考试网人力资源和社会保障部人事考试心是直接隶属于人力资源和社会保障部的事业单位。
wireshark抓图
yummy11111的博客
11-18 6239
wireshark抓图 **今天我要做的实验就是用wireshark对QQ好友发送图片,利用wireshark和winhex结合进行图片还原。 这次的实验利用了wireshark和winhex进行抓图。** 接下来就是实验的过程啦! 实验步骤如下: **1.**首先打开wireshark,选择过滤器,因为我连接的是WiFi,所以就选择WLAN过滤器啦!选好之后开始捕获。 然后进行筛选,tcp,因为jpg为图片的格式,十六进制为ffd8ff,所以以十六进制数进行查找筛选, 找到之后,进行
Python使用pypcap扩展包,抓取视频网站的视频URL
Wzanzan的博客
08-08 1208
这里写自定义目录标题前言第一步、安装Python(2.7.13 64位)第二步、安装Python的扩展包pypcapy==1.1.2第三步、安装Python的扩展包dpkt(这个没什么特别的,直接装就可以。)第四步、开始上代码(此时打开你的浏览器开始看视频,抓url。) 前言 最近工作需要爬取视频URL,本人在网上找了很多资料,最终绕了很大一个弯子才搞定,写此博客供自己以后查看,或提供给有此需求的...
Wireshark】预览及提取流量包图片等格式的文件
weixin_73668144的博客
07-11 3799
wireshark
wireshark 提取264视频流插件,h264_export.lua
06-22
支持同时解析多个视频流,并以...第一步:在init.lua脚本设置disable_lua = false 第二步:在init.lua文末有一句dofile(DATA_DIR.."h264_export.lua") 第三步:将下载的h264_export.lua文件与init.lua放在同级目录
报文图片视频的自动化还原方法实例PCAP报文
07-18
本文将详细介绍如何利用Wireshark结合Lua脚本,实现PCAP报文嵌入的图片视频的自动化还原。 首先,我们需要理解PCAP(Packet Capture)报文格式。这是一种通用的数据包捕获文件格式,用于存储网络流量数据,通常...
Wireshark+lua插件方式抓包及解析OMCI协议报文详细信息
03-26
这通常涉及创建一个`.lua`文件,并可能需要创建配套的`.dissector`文件来定义插件Wireshark的行为。 通过以上步骤,你可以利用WiresharkLua插件深入解析OMCI协议报文,从而更好地理解和管理GPON网络的ONT...
wireshark_lua:用于wiresharkLUA脚本
05-31
lua文件WiresharkLUA 扩展,用于打印服务器处理 NFS 请求所花费的时间。 用法: # for life capture$ tshark -q -X lua_script:nfs.lua -f " port 2049 "# or if nfs trafic is not on a standard port ( pNFS ...
提取pcap网络数据包数字证书各属性字段信息
村中少年的专栏
05-10 2423
使用wireshark插件和python openssl网络数据包数字证书各属性字段信息
使用Wireshark图片文件)抓包
qq_62623325的博客
10-08 5554
Wireshark的简单应用
Scapy 解析 pcap 文件从HTTP流量提取图片
09-17 3011
​ 通常我在网络嗅探与数据包分析,使用 Wireshark 就可以很方便地浏览 pcap 文件的内容。但当捕获得流量很大或数据包特征不太明显,再或者数据包特征已确定,要从进一步分析(提取)流量。以往采用人工方式可以说是种恶梦。幸运的是 Philippe Biondi 为 Python 开发的数据包处理库Scapy以精巧和令人惊叹,一两行代码就能解决上述问题(功能远远不止如此)。这里我会演示如何借助 Scapy 的 pcap 数据处理能力,从嗅探到的 HTTP 流量提取图片
wirshark抓包还原图片
m0_74168516的博客
11-21 1057
wirshark抓包还原图片
pcap流量提取文件的五种方法
热门推荐
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
wireshark抓取qq发送的图片
m0_73952621的博客
12-09 470
2、通过追踪TCP流以及jpg图片的16进制编码头几位ffd8ff找到对应数据流,追踪TCP流。3、用WinHex打开文件,删除ffd8ff前面的编码,保存,打开文件后即可得到图片。显示为原始数据保存到桌面,将文件名改为jpg文件。1、打开wireshark,用QQ发送一张图片
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 4230
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
提取pcap文件的opus及h265码流的小工具
mo4776的博客
07-27 3561
背景 在音视频系统的调试,经常要抓包进行码流分析,所以写了个小工具,可以直接提取pcap格式抓包文件的码流。现在小工具支持opus和h265的码流提取。 用法 提取h265视频流 抓包 在windows下用wireshark抓取数据包,如下图 过滤rtp包,记录需要提取的码流的ssrc值,在这里选择0x9f8d9c2c。 将抓包文件另存为pcap格式,如下图 3...
wireshark lua 插件提取pcap报文文件,图片,视频
09-04
Wireshark是一款常用的网络抓包工具,而Wireshark Lua插件可以帮助我们从pcap报文提取文件图片视频等特定类型的数据。 首先,我们需要通过Wireshark打开一个pcap文件,在“File”菜单选择“Open”,然后选择相应的pcap文件并打开它。接下来,我们需要使用Wireshark Lua插件提取我们所需的文件图片视频。 对于文件提取,我们可以编写一个简单的Lua脚本来实现。首先,在Wireshark的安装目录下找到“plugins”文件夹,创建一个新的文件夹,并将Lua脚本命名为“extract_files.lua”。然后,打开该Lua脚本,在其编写以下代码: ``` -- 获取所有的数据包 local packets = {} do local iter = 0 -- 遍历每个数据包 -- 通过wireshark.file()来获取文件 function process_packet(pinfo, tvb) iter = iter + 1 local filedata = wireshark.file():open(pinfo.number .. "_file") if filedata then table.insert(packets, filedata) end end -- 便利数据包 -- 这个函数将在每个数据包到达时被调用 -- 这里定义了我们要捕获的协议为HTTP function main() ip_proto_table = DissectorTable.get("ip.proto") ip_proto_table:add(6, http_proto) ip_proto_table:add(17, http_proto) end end ``` 以上代码的功能是在每个HTTP数据包到达时打开一个文件,然后将该文件添加到`packets`列表。 接下来,我们可以在终端使用Wireshark Lua插件来运行我们的脚本。在终端输入以下命令: ``` wireshark -X lua_script:extract_files.lua -r your_pcap_file.pcap ``` 在运行命令后,Wireshark将根据我们的脚本提取pcap文件的所有文件,并将其保存在新的文件。 对于提取图片视频,我们可以编写类似的脚本,只需要根据特定的协议或数据包格式来过滤和提取我们所需的图片视频文件即可。 总之,Wireshark Lua插件提供了一种灵活的方式来从pcap报文提取文件图片视频等特定类型的数据。通过编写适当的Lua脚本,我们可以轻松地提取出我们需要的数据,并进一步分析和处理。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值