利用WireShark将pcap数据流还原图片文件

最新推荐文章于 2025-04-04 10:33:02 发布
最新推荐文章于 2025-04-04 10:33:02 发布
阅读量6k 收藏 39
点赞数 8
分类专栏: 网络技术 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45256499/article/details/111460717
版权

使用工具: WireShark WinHex

1.打开pcap文件
在这里插入图片描述
2. 对数据流进行筛选
利用ctrl+f打开或Edit/编辑查找分组
1选择分组字节流、字符串,筛选框输入“jpg"
回车查找,得到筛选后的数据流
3. 追踪流
选择任意结果的一行右键
->追踪流->TCP流
在这里插入图片描述
4. 得到结果如图
修改“显示和保存数据为”-——原始数据
另存为在这里插入图片描述
选择路径, 图片后缀名为.jpg在这里插入图片描述
得到的图片但是打不开
在这里插入图片描述
5. 打开WinHex
选择文件->打开->选择刚刚保存的jpg文件

在这里插入图片描述
在这里插入图片描述
因为正常jpg文件是从“FF D8 FF E0 00…”开始的
所以我们将“FF D8 FF E0 00…”前面的数据都删除掉
在这里插入图片描述
6. 保存修改后的文件 打开图片
在这里插入图片描述

完成

Wireshark lua 插件提取PCAP报文中文件图片,视频
村中少年的专栏
01-08 7115
Wireshark提取离线包数据中的文件图片、视频等信息,通过wireshark lua插件来实现
Cyberchef配合Wireshark提取并解析TCP/FTP流量数据包中的文件
村中少年的专栏
11-14 504
通过cyberchef还原pcap数据包中TCP上层的文件内容,提升wireshark分析数据包的效率
Wireshark TCP数据包跟踪 还原图片 WinHex应用
Radiency的博客
11-26 1946
Wireshark TCP数据包跟踪 还原图片 WinHex简单应用
Wireshark】通过wireshark抓取的流量还原文件(以zip为例)
最新发布
小陈的博客
04-04 470
wireshark打开流量包,通过zip关键字查找追踪流可查看详细信息选中media Type右键, 点击导出分组字节流选项将生成的文件进行命名,需要时什么格式就以什么格式后缀。
wireshark图片还原
..
10-08 1543
然后Ctrl+f查找FFD8,从FFD8....开始,后面的十六进制数据就是我们的图片了。而前面的只是HTTP的请求头,删掉即可还原图片。4.在wireshark进行过滤,通过 ip.src==你手机的IP,来筛选数据流;得到两个数据流,因为我发送了两张图片,所以会有两个数据流。随便选择一个,右键 -> 追踪流 -> HTTP流。2.手机和电脑同时连接校园网,然后在手机向电脑发送一张图片。1.打开wireshark,选择WLAN。然后另存为 安服仔.jpg,位置选择桌面。在桌面点击我们还原图片,嘿嘿。
wireshark抓包并复原图像
魏云舒的博客
03-02 1万+
背景介绍: 最近测试发现一个bug,不同设备在微信小程序中上传到后端的图片不一样,有些能够识别,有些不能够识别,这里就有两个方向:要么识别算法不行,要么前端传过来的图片不行。算法是调用别家的,该不了,那就只能反馈给前端,不同设备从微信上传过来的图片不同了。这里就需要抓包并分析。 操作1:tcpdump抓包: // 1. tcpdump抓包 tcpdump -i any host {{host_ip}} and tcp port {{port_ip}} -n -v -s 0 -w /tmp/20220301.
wirshark抓包还原图片
m0_74168516的博客
11-21 1264
wirshark抓包还原图片
pcap文件灰度图像用于CNN输入
sca1p31的博客
02-29 1970
然后去搜了一下原因,发现是splitcap文件的版本问题,所以要去官网下载一个最新的替换掉0_Tool目录下SplitCaP_2-1中的可执行程序,下载地址:https://www.netresec.com/index.ashx?我们在使用pcap文件作为训练集时,都需要进行预处理,比如在使用CNN模型的时候,需要将pcap为灰度图像来作为输入,我这里使用USTC-TK2016开源工具来进行处理。然后将按照github文档上写的,将USTC-TFC2016数据集移动到1_Pcap\目录下。
使用Wireshark抓取QQ图片并复原
m0_72647910的博客
10-19 1159
今天写网络渗透测试的第一次作业,学习Wireshark软件抓取QQ聊天发的图片并进行复原。同时学习在CSDN写文章,开启自己博客编写之路。
WireShark离线包数据/抓包数据中还原原始图片、视频等
狼来了
12-28 1万+
工具:WireShark、Winhex 附赠下载链接:https://pan.baidu.com/s/1NkDEJPWFYYdx5g7hHdDG9Q 提取码:78vh 1. 例如我这里打开了一个WireShark的离线包,需要从中提取出一张图片 2. 我们知道要提取的内容为图片格式.jpg,对离线包数据进行筛选 1.显示过滤器选择字符串 2.分组详情改选择分组字节流 3.筛选条件输入jpg。 (...
[pcap1] 文件恢复
ACdream
05-28 1364
学习资料来源:http://blog.51cto.com/yttitan/1737904这里记录一下自己觉得重要的过程首先需要过滤包:http.request.method==POST,因为我们是需要从中恢复出上传的文件拖动下发现209号包格式不同,且有Upload image,打开分析在应用层:在传输层:这里可以看到,由于文件比较大,所以拆分成了16个帧进行文件传输于是,可以选择209号包进行T...
wireshark 抓包分析工具(最新版)图片、语音、视频
02-08
最佳答案 wireshark 是一款网络数据抓包软件。能够嗅探到一些诸如:POP3、FTP的登录密码、还能够分析抓取到的各种数据包。但是一般来说,还原抓取到的各种格式的信息包还是比较困难的
pcap2flowchart:将pcap信令文件换为流程图
04-14
pcap2flowchart:将pcap文件换成流程图 该程序将读取包含SIP / RTP / DNS / Diameter / M2UA协议的pcap格式的信令数据,并将其换为呼叫跟踪流程图。 首先需要安装php-cli,php-gd,wireshark和gnuplot库。 (请参阅安装/ Dockerfile) 运行命令如下。 例子: php pcap2flow.php your_pcap_file [wireshark过滤器字符串] 输出文件名将是带有your_pcap_file的第一个时间戳的PNG格式
wireshark对QQ分析和恢复图片文件
2301_80140634的博客
10-13 445
3. wireshark抓包后在分组输入图片的十六进制文件头,比如jpg图片文件(ffd8ff)得到图片文件的数据包。5.将整个回话改为手机ip箭头指向电脑ip的回话,显示改为原始数据,然后保存到电脑。2.打开wireshark选择WLAN并使用手机发送图片给客户端。在这里我们可以看到mac地址,ip地址,QQ号以及端口号等。1.打开wireshark点击WLAN得到流量数据包。7.把ffd8前面的全部删掉就可以得到图片啦。6.使用WinHex打开所保存的文件。4.点击鼠标右键追踪流。
Wireshark数据抓包还原文件
m0_73936732的博客
10-21 4163
Wireshark数据抓包还原文件
java实现图片化为字节流,字节流还原图片
热门推荐
u010627840的专栏
01-09 5万+
最近,在研究图片化为字节流以及字节流还原图片的, 项目下载地址:http://download.csdn.net/detail/u010627840/9397506 代码如下: package com.mybatis.test; import java.io.File; import java.io.FileInputStream; import java.io.FileOutput...
使用Wireshark提取流量中图片方法
imtech的博客
11-23 7658
第一种方法最简单最全面,应该不会有遗漏,第二种的话可以快速显示一张图片。第三个办法是舍近求远,简单事情复杂化的办法。不过通过这个过程可以理解文件类型、文件开头结尾内容;使用winhex编辑文件等过程,也挺好玩的。t=N7T8中国人事考试网人力资源和社会保障部人事考试中心是直接隶属于人力资源和社会保障部的事业单位。
python渗透测试入门之http流量图片还原
ailx10
06-13 821
近期收到了电子工业出版社赠送的一本网络安全书籍《python黑帽子》,书中一共24个实验,今天复现第10个实验(http流量图片还原),我的测试环境是mbp电脑+conda开发环境。访问一个http网站,就能抓取该网站的所有图片,实际测试效果一般,不仅抓不全,而且抓的图片存在大量重复,备注:有可能是我选的网站不好~1、访问一个有图片的http网站,注意是80端口的http,不是https,然后开启...
winhex数据恢复heic
02-19
### 使用 WinHex 恢复 HEIC 文件 为了有效地使用 WinHex 进行 HEIC 文件恢复,了解该工具的功能以及具体操作方法至关重要。 #### 打开并加载目标磁盘镜像或存储设备 启动 WinHex 后,通过菜单中的 `File` -> `Open Disk or Image File...` 来打开需要分析的目标介质。如果是在物理硬盘上查找丢失的 HEIC 图片,则可以直接连接硬件并通过相同的方式将其作为原始数据源装载[^1]。 #### 定位 HEIC 文件头签名 HEIC 文件通常具有特定的文件头标记,这有助于识别文件起始位置。常见的 HEIC 文件头部可能包含如下特征码:“ftypheic”。利用 WinHex 的十六进制视图功能可以手动扫描这些模式,也可以借助内置搜索命令加快定位过程: ```plaintext Search > Hexadecimal String... 输入: 6674797068656963 (即 "ftypheic" 对应的 ASCII 十六进制表示) ``` 一旦找到匹配项,记录下对应的偏移地址以便后续处理。 #### 提取完整的 HEIC 数据流 确认了文件开头之后,下一步就是确定其结束边界。由于图像尺寸各异,无法简单依靠固定长度来界定范围;此时可采取两种策略之一: - **基于上下文判断**:观察相邻区域是否存在其他已知类型的文件头或其他明显不属于当前 HEIC 流的内容; - **尝试读取直到遇到下一个有效文件头之前停止**:这种方法适用于连续存储空间内存在多个不同类型文件的情况。 选定合适的终止点后,在 WinHex 中选中整个 HEIC 数据区间,并通过右键菜单选择 `Copy Block to New Document` 创建新文档保存提取出来的二进制片段。 #### 验证与优化输出结果 最后一步是对所获得的数据进行验证,确保能够正常解析为有效的 HEIC 文件。可以通过更改扩展名为 .heic 并用支持此格式的应用程序查看图片来进行初步测试。如有必要,还可以进一步调整截取范围以排除任何可能导致损坏的因素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值