Wireshark系列之7 利用WinHex还原文件

最新推荐文章于 2024-04-27 05:36:48 发布
最新推荐文章于 2024-04-27 05:36:48 发布
阅读量701 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33857230/article/details/85077298
版权

接下来我们利用WinHex从保存的原始文件中将上传的图片还原出来。

将之前保存的temp.bin用WinHex打开,可以看到文件中包含HTTP请求信息以及我们的图片信息,还有文件结尾的尾部信息。我们需要做的事情是确定图片文件的原始信息头和尾,并去掉多余的部分。

image

回到Wireshark中,会看到我们刚才的数据流中关于图片的头部分。

image

在Content-Type: image/pjpeg后面有两个换行符,在原始文件中换行符用十六进制表示是 “0D 0A”,因为有两个,所以我们在图片名字test.jpg附近寻找“0D 0A 0D 0A”,后面的部分就表示图片的开始。

image

这时候我们需要去掉图片以上的部分。在00000000偏移处点击alt+1,表示选块开始。

image

在我们找到的“0D 0A 0D 0A”处的最后一个0A处点击alt+2.表示选块结束。这时候,我们就选中了图片之前的多余部分。

image

按下delete键,将文件中的多余头部确认删除。

image

回到wireshark中,我们看看图片传送完毕之后的尾部部分。可以看到,这次是一个换行符,后面有些文件结束标志“-------------”。

image

同样在原始文件中删除它们。

image

这时候我们的文件中就仅仅是原始图片的内容了,将文件另存为test.jpg。

最激动人心的一步来了,终于可以看到图片的真实内容了。

image

weixin_33857230
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何在winhex中提取linux的文件,linux中生成考核用的FAT32文件系统结构样例(二)
weixin_39562185的博客
05-01 665
实验FAT32-2说明:FAT32-2\目录下的xxx.tar.gz解压后是一个FAT32文件系统的分区镜像,其DBR及备份的一些参数错误,请使用winhex手工方式修复DBR,并回答修改后的DBR的md5 HASH值。要求:1、利用WINHEX手工方式读取。2、不得使用WINHEX模板功能。3、不得使用WINHEX文件系统解析功能。4、出错部分仅为DBR保留扇区、FAT表份数、FAT表大小、文件...
Hex文件与Bin文件内容解析
星尘博客For嵌入式技术
10-10 177
test.bin文件中的所有字节在test.hex文件中都能找到,但是test.hex文件还包含了更多的内容。
Wireshark TCP数据包跟踪 还原图片 WinHex应用
Radiency的博客
11-26 1645
Wireshark TCP数据包跟踪 还原图片 WinHex简单应用
Wireshark流量分析还原zip文件
ak.Gh0st的博客
12-28 4120
将保存类型设置为All Files,将文件名设置为压缩文件,保存即可。以下为该压缩包的请求包和响应包内容,我们需要的是响应包中的响应体。选中该http请求后,选择Media Type,右键选择。通过提示下载流量包,导入到wireshark开始分析。此处发现访问了可疑的压缩包文件。以下内容为数据取证靶场题目。即可将响应体内容导出。解压该文件得到key值。
web学习之js写计算器
最新发布
2401_84435866的博客
04-27 943
off_on {p,h1 {font-family: 楷体;
wireshark解析s7comm-plus插件
07-25
wireshark解析s7comm-plus插件
wireshark抓包源文件(主流协议都包括)
03-11
包含各种类型协议的wireshark抓包源文件
S7comm Plus wireshark 插件
10-16
然后,将提供的s7comm-plus0.0.8 wirashark64bit插件文件导入Wireshark的插件目录。重启Wireshark后,即可在“解码”选项中看到S7comm Plus的解码功能。在捕获到相关的网络流量后,选择S7comm Plus解码,就能看到...
利用WireShark深入调试网络请求
02-01
bug时的那些方法论,当然也不能太虚,还是要带一点干货,比如WireShark的使用。遇到bug后的第一件事当然是复现。经过一番测试我发现bug几乎只会主要出现在iPhone6 这种老旧机型上,而笔者的7Plus则基本没有问题。4G...
西门子s7以太网报文可用wireshark打开
09-21
西门子s7协议以太网报文,可以用wireshark软件打开,适用于学习s7报文解析,学习各种工业以太网协议可参考本人其他下载文件
Winhex 手动修复分区表以提取数据(最安全快速的方法)
02-26
要说用这Winhex来手动修复分区表,还不得不对硬盘的分区表有些基础认识,对分区表是何物也不知道的朋友,还是建议你去找找类似的介绍文章,或者看看上面的链接。
winhex内存读取工具
05-07
WinHex 是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。得到 ZDNet Software Library 五星级最高评价,拥有强大的系统效用。功能包括 (依照授权类型): - 硬盘, 软盘, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盘编辑器... - 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系统 - 支持对磁盘阵列 RAID 系统和动态磁盘的重组、分析和数据恢复 - 多种数据恢复技术 - 可分析 RAW 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件 - 数据解释器, 已知 20 种数据类型 - 使用模板编辑数据结构 (例如: 修复分区表/引导扇区) - 连接和分割、以奇数偶数字节或字的方式合并、分解文件 - 分析和比较文件 - 搜索和替换功能尤其灵活 - 磁盘克隆 (可在 DOS 环境下使用 X-Ways Replica) - 驱动器镜像和备份 (可选压缩或分割成 650 MB 的档案) - 程序接口 (API) 和脚本 - 256 位 AES 加密, 校验和, CRC32, 哈希算法 (MD5, SHA-1, ...) - 数据擦除功能,可彻底清除存储介质中残留数据 - 可导入剪贴板所有格式数据, 包括 ASCII、16 进制数据 - 可进行 2 进制、16 进制 ASCII, Intel 16 进制, 和 Motorola S 转换 - 字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode) - 立即窗口切换、打印、生成随机数字 - 支持打开大于 4 GB 的文件,非常快速,容易使用。 - 广泛的联机帮助 [隐藏介绍]
超菜鸟级ctf3
kid的博客
05-11 3042
超菜鸟级ctf3 前言 这次的菜鸟级ctf感觉难度有点大,大佬说有几道题是达到一些正式ctf级别了。 通过这些练习也主要来找自己的一些不足或者说来计划下一步的一些学习计划, 题目 embarrass 这是一道杂项题,给了一个pcapng文件,一开始也是没有任何绪,Wireshark打开后也很懵… 还是从简单的方式来,用进文本编辑器打开,搜flag,结果直接搜出了flag… 后面看了下题解,...
小工具,从wireshark中导出原始16进制数据,进而导出RTPPayload数据
热门推荐
C__Allen的程序人生
06-14 1万+
wireshark抓到的包可以导出:file->export->file 在packet format下可以选择导出的格式,但如果需要的数据是多个包的组合那就麻烦了,因为导出的数据无论如何都会加上链路层、IP层和传输层的信息,手动删除基本可能。 比如,我捕获了很多RTP包,但我只想取出RTP的payload来分析数据是否正确,我可以这样做: 首先导出packet byte格式的数据
网络流量抓取与还原系统Xplico架构
huangshulang1234的博客
12-09 3006
网络流量抓取与还原系统Xplico架构 0×1 概述 关于 xplico的目标在于从抓取的网络流量处还原应用中的数据。 例如:xplico可以从pcap包中还原出每一封邮件(POP,IMAP,SMTP协议),所有的http内容等等.Xplico并不是协议分析工具,而是网络取证工具。 特性
wireshark文件输入、输出和打印
OceanStar的博客
11-29 3989
引言 wireshark针对捕获到的数据,可以: 以各种捕获文件格式打开捕获文件 以各种格式保存和导出捕获文件 将捕获文件合并到一起 导入包含十六进制数据报转储的文本文件 打印数据包 打开捕获文件 wireshark可以读取以前保存的文件。方法有二: 菜单栏的“文件->Open”或者工具栏 在文件管理器中拖动文件并将其放到Wireshark的主窗口中,就可以打开该文件。 “打开捕获文件”对话框 作用: 打开要查看的捕获文件 “打开捕获文件”对话框允许您搜索以前捕获的数据包的捕获文件,以便在w
使用WiresharkWinhex解析QQ图片传输
在这个过程中,我们利用Wireshark来捕获QQ在同子网环境下传输图片的数据流量,通过16进制编辑器WinHex对捕获的数据进行深入解析。 首先,确保手机和电脑在同一子网下,这样QQ传输的图片数据不会经过加密,便于分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值