Załóżmy, że mam dziennik ruchu Wireshark ze strony internetowej.
Czy mogę zrekonstruować różne elementy, takie jak plik HTML, pliki obrazów, pliki skryptów Java itp.?
Najlepiej byłoby wziąć plik .pcap i automatycznie wygenerować pojedyncze pliki.
Załóżmy, że mam dziennik ruchu Wireshark ze strony internetowej.
Czy mogę zrekonstruować różne elementy, takie jak plik HTML, pliki obrazów, pliki skryptów Java itp.?
Najlepiej byłoby wziąć plik .pcap i automatycznie wygenerować pojedyncze pliki.
Odpowiedzi:
Dlaczego chcesz to zrobić w ten sposób? Coś nie całkiem nie poziom?
Osobiście nie widziałem takiego programu, jaki opisujesz.
Myślenie o tym byłoby praktycznym dość trudnym zadaniem i najlepiej uzyskać je z kopii zapasowej danych źródłowych. Przechwycone pakiety prawdopodobnie nie będą w tej samej kolejności ze względu na okienkowanie i retransmisje i tym podobne.
Mogę poświęcić czas i wysiłek w zależności od podstawowej wartości informacji, które próbujesz skonstruować (tj. Sprawy kryminalne lub sądowe).
O ile klient użył nowego strumienia TCP dla każdego pobranego elementu, można to zrobić za pomocą wireshark.
Użyj opcji Follow Stream Stream z menu po kliknięciu prawym przyciskiem myszy na każdym ze strumieni TCP. To da ci każdy pakiet zaangażowany w tę sesję. W dolnej części okna dialogowego zmień menu rozwijane „Cała rozmowa”, tak aby obejmowało tylko ruch z serwera do klienta.
Następnie możesz zapisać jako Raw, za każdym razem wybierając odpowiednią nazwę pliku.
Natknąłem się na ten artykuł, który wydaje się opisywać, jak zrobić to, co próbujesz:
https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/