In diesem Artikel wird erläutert, wie Sie mithilfe von Wireshark und Python den Dateiinhalt im PCAP-Paket automatisch und manuell wiederherstellen.
Wenn Wireshark Datenpakete analysiert, stößt es häufig auf Dateninhalte, die Wireshark selbst nicht dekodieren kann, wie in Abbildung 1 unten dargestellt:
Abbildung 1
Bei diesen Inhalten kann es sich um chinesisch kodierte Dateien, Bilder und Videos handeln, für deren Öffnen häufig eine spezielle Dekodierungssoftware erforderlich ist. Wenn beispielsweise in HTML chinesische GB2312-Kodierungsinhalte vorhanden sind, können diese nicht in Wireshark angezeigt werden. Sie müssen in der Datei im HTML-Format wiederhergestellt werden und können durch Öffnen mit dem Chrome-Browser korrekt angezeigt werden. In diesem Artikel habe ich viele mögliche Ursachen für verstümmelte Zeichen in Wireshark aufgelistet, siehe hier .
Für die Bilddatei in Abbildung 1 kann Wireshark nur einen Teil der Header-Felder analysieren und nur die hexadezimalen Informationen des Bildes anzeigen. Zur Anzeige ist eine Bilddekodierungssoftware erforderlich. Das Gleiche gilt für bestimmte Software wie Video und Büro. In meinem vorherigen Artikel habe ich die Verwendung des Wireshark-Lua-Plug-Ins zum Extrahieren von Bildern, Videos, Zertifikaten und anderen Dateiinhalten beschrieben, siehe hier . Basierend auf diesem Artikel können natürlich weitere Dateiinhaltstypen basierend auf der Wireshark-Erweiterung wiederhergestellt werden. In diesem Artikel wird eine weitere Möglichkeit zum manuellen Wiederherstellen von Dateien und zum automatischen Wiederherstellen von Dateien vorgestellt.