开启抓包:
netsh trace start capture=YES report=YES persistent=YES //开启
netsh trace stop //停止
停止生成两个文件,后缀为:cab , etl
转换文件格式:
(1)用Microsoft Message Analyzer(mma) 打开后,转换成cap,然后通过wireshark分析
(2)或使用etl2pcapng.exe 进行转换为cap文件
https://github.com/microsoft/etl2pcapng/releases
例子
etl2pcapng.exe capture.etl out.pcapng
借鉴
https://www.cnblogs.com/id404/p/17825743.html