工具:wireshark(抓包工具),010editor(十六进制编辑器),7Z(解压缩软件)
场景描述:最近在做一个终端调用(post)平台端的接口(url)来上传文件的功能,主要用的是libcurl。为了验证服务器收到的数据是否是正确的,使用了wireshark抓包并进行文件还原,现将方法记录一下。
1.单一文本文件的查看和还原
上传的文件格式很简单,一个文本文件。抓包后,找到调用接口的那行双击 ,如下图
然后在wireshark的菜单栏选择Analyze--->Follow TCP Stream 进行数据流的查看
文件分隔符后的就是真正的文本内容。
2.压缩文件的查看和还原
前面的步骤一样 只是在查看数据流这里并不能得到一个我们一眼就能明白的数据,需要进行处理。
- 在你分析这个流的时候 直接打开看到的就是一段貌似乱码的东西。然后选择你要查看的发送和接收方,以原始数据(raw)来另存为.tar.gz 文件,操作如下图。
2.使用010editor 十六进制编辑器来打开这个.tar.gz的文件。这种压缩格式的文件开头是1F8B,找到这个删除之前的全部内容,该文件后有boundary分隔符,将这部分删去,即掐头去尾留下来的就是真正的数据。
尾部删除到那里呢?在刚打开流分析的时候,可以下拉查看那一堆数据,在最后可以看到结束的字符,依然以一个boundary分隔符来区分。(上面这个图标错了, “z”后面应该是“..”两个点,看下面的图)
3.到这里数据已经处理完了,再保存为.tar.gz文件 使用压缩软件解压缩就可以得到真正传送的数据了。
