Wireshark教程:从Pcap中导出对象

最新推荐文章于 2025-03-11 18:10:05 发布
最新推荐文章于 2025-03-11 18:10:05 发布
阅读量7.9k 收藏 18
点赞数 2
文章标签: wireshark 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nuan444979/article/details/127006176
版权
本文是关于Wireshark的教程,教你如何从网络流量中导出HTTP、SMB、SMTP和FTP协议的对象。内容涵盖从HTTP流量中导出文档和可执行文件,从SMB流量中导出潜在恶意文件,从SMTP流量中导出电子邮件,以及从FTP流量中提取文件。在分析过程中,强调了检查文件类型、MD5值和安全注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

警告:许多pcap包含Windows恶意软件,本教程涉及检查这些恶意文件。由于这些文件是Windows恶意软件,建议在离线环境下学习本教程(如:虚拟机)。

目录

从HTTP流量中导出对象

从 SMB 流量中导出对象

 从SMTP流量中导出电子邮件

从 FTP 流量中导出文件

从HTTP流量中导出对象

在Wireshark中打开pcap并在http上过滤

在http上过滤后。有三个GET请求,第一个请求在www.msftncsi[.]com中返回了一个ncsi.txt文本文档,其他两个发送到smart-fax[.]com的GET请求。以.doc结尾,表示请求返回了一个Microsoft Word文档。以.exe结尾,表示请求返回了Windows可执行文件。下面列出了HTTP GET请求:

  • www.msftncsi[.]com-GET /ncsi.txt
  • smart-fax[.]com - GET /Documents/Invoice&MSO-Request.doc
  • smart-fax[.]com - GET /knr.exe

接下来我们就是要导出HTTP请求中你想要的请求,我们可以点击左上角的文件-导出对象-HTTP,然后会弹出一个HTTP对象列表,我们选择smart-fax[.]com 请求的.doc文档,选择Sava(保存),保存到选择的路径后记得不要更改文件名称,便于我们分析不同的恶意文件。

注意:HTTP对象列表中的内容类型显示了服务器如何在其HTTP响应头中标识文件。在某些情况下,Windows可执行文件被故意标记为不同类型的文件,以避免被检测到。

不过,我们应该确认这些文件如我们认为的一样。我们可以在Linux环境中(如:kali),可以使用终端窗口或命令行界面执行以下命令:

  • file  文件名
  • md5sum  文件名

file命令会返回文件类型,md5sum会返回文件MD5值。我们可以根据这些信息判断这些文件如我们认为的一样。最后我们可以通过文件的MD5值去沙箱检索,查看是否为恶意文件,还可以通过Google搜索引擎去搜索MD5值相同的恶意文件及沙箱检索报告。

除了Windows可执行文件或其他恶意软件文件外,我们还可以提取网页流量。下面的为某人在虚假PayPal登录页面上输入登录凭据的流量。

在查看来自网络钓鱼网站的流量时,我们要查看网络钓鱼网页的外观。我们可以使用导出 HTTP 对象菜单提取初始 HTML 页面,这里我们可以提取所有文件到一个文件家中。然后,我们可以在离线的环境中通过 Web 浏览器查看它(如:虚拟机)。

最低0.47元/天 解锁文章
暖、风
关注
Wireshark lua 插件提取PCAP报文中文件,图片,视频
村中少年的专栏
01-08 7122
Wireshark提取离线包数据中的文件图片、视频等信息,通过wireshark lua插件来实现
WireShark数据对象导出分析方法
Fly_鹏程万里
10-20 7140
网络安全是当今互联网时代中不可忽视的问题,随着网络技术的不断发展,网络攻击手段也变得越来越复杂和隐蔽,因此网络安全工作者需要具备一定的技术能力和工具使用能力,其中WireShark是一款广泛使用的网络协议分析工具,可以帮助用户深入了解网络数据包的传输过程,从而提高网络安全防护的能力。本文将介绍WireShark对象导出功能,帮助读者更好地利用这一功能进行网络数据包分析和安全防护工作。
使用Wireshark导出数据包中的文件
u011186532的专栏
12-19 2507
Wireshark 是一款广泛使用的网络协议分析工具,它提供了导出对象(Export Objects)功能,允许用户从捕获的网络流量中提取和导出特定协议的数据对象。这些对象通常与 HTTP、FTP、SMB、TFTP、IMF 等协议相关的文件或数据,通常是传输中的多媒体文件、网页资源、程序文件等。
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
A1_3_9_7的博客
03-11 920
大家都知道,它可以截获和分析网络数据封包,检测网络上的问题,比如网络延迟、数据丢失、拥堵等,以及评估网络性能。当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时,通过Wireshark抓包定位问题根源,是最直接有效的手段。虽然Wireshark功能强大,但是很多网工使用时一知半解,会碰到许多问题。
导出 wireshark 网络包二进制数据的三种方法
weixin_32015301的博客
12-28 377
Wireshark 是一款很好用的 UI 抓包工具,在 Windows、macOS 上都可以使用。最近开发的一个统计日志上报功能,发送的网络请求明明可以收到 server 正确的响应,但却捞取不到相关的日志,于是想到用 Wireshark 抓包分析内容,看看是哪里出问题了。 图中 Data 部分就是我们关心的数据包,想要进一步分析,需要将它导出为原始的二进制文件,这里一共有三种方法,下面分别说...
wireshark】筛选指定流量导出pcap文件
weixin_44457220的博客
06-07 1183
使用wireshark获取特定流量包
【电子取证】Wireshark教程:从流量包中导出文件
longxintec的博客
06-04 4204
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
pcap文件提取IPv6的flow数据
临安雨潇
08-19 2033
#参考链接http://www.th7.cn/Program/Python/201403/180630.shtml # _*_ coding:UTF-8 _*_ import win32api import win32con import win32gui import time import webbrowser from ctypes import * import time VK_CODE =
Wireshark 教程:从数据包捕获到分析
10-24
为了进一步分析或存档,Wireshark支持将捕获的数据包导出为多种格式,包括常见的pcap文件等,方便用户在其他工具中继续分析或作为证据记录。Wireshark的官方网站、文档和教程资源非常丰富,用户可以通过这些资源深入...
Wireshark教程:检查Trickbot感染
nuan444979的博客
09-29 1972
Wireshark教程:检查Trickbot感染
wireshark数据包怎么导出----可以导出指定的数据包
热门推荐
xqhrs232的专栏
10-31 2万+
原文地址::https://jingyan.baidu.com/article/1612d500bbafa3e20e1eee92.html 相关文章 1、利用Wireshark截取数据包,并对数据包进行解析----http://www.cnblogs.com/hewenwu/p/3720084.html 2、wireshark提取数据,RGB值还原图片----http://blog.
wireshark抓包数据提取
04-24
wireshark导出日志中DATA提取工具代码。过滤掉多余信息,只提取出数据包里面的data数据。
使用wireshark导出rtpdump文件步骤
11-17
使用Wireshark导出符合http://www.cs.columbia.edu/irt/software/rtptools/所指定的rtp流的步骤
WireShark抓包文件.rar
05-16
1、AMR声码器RTP网络包 2、NVOC声码器RTP网络包 3、H264格式RTP网络包 4、SIP协议RTP网络
Wireshark保存文档转为纯文本数据
07-04
保存wireshark抓包的数据为txt文本,然后更改cpp文件中的文件路劲并运行
pcap流量中提取文件的五种方法
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据中的文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件,提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
wireshark 导出二进制文件_使用wireshark分析https流量
weixin_39604139的博客
11-24 1762
我们都知道,https流量是SSL/TLS加密的,直接通过wireshark抓取的话会显示不可读的乱码文字。本文将介绍windows下和mac两个操作系统下通过导出sslkey文件的方式查看https流量的方法。## Windows1、在环境变量中设置SSLKEYLOGFILE的值,如本实验例子中设置的为:SSLKEYLOGFILEc:\ssl.log环境变量配置的方式是(win7为例)...
wireshark 使用-pcap导出指定数据
changyus的专栏
01-25 5883
wireshark 使用-pcap导出指定数据
Wireshark中文使用教程网络管理员的必备指南
捕获的数据包可以被保存为.pcap或.pcapng格式的文件,这些文件可以在Wireshark中随时打开并分析。用户还可以通过导出特定的数据包为其他格式(如CSV文件)以便进行进一步的分析或报告。 6. 高级功能 Wireshark具备...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值