假设我有一个来自某个网站的流量的 Wireshark 日志。
我可以重建各种元素,如 HTML 文件、图片文件、java 脚本文件等吗?
理想情况下,它会采用.pcap 文件并自动生成单独的文件。
答案1
你为什么要这样做?这不太符合水平吧?
我个人还没有见过像您所描述的程序。
考虑到这一点,这实际上是一项相当困难的任务,最好从备份源数据中获取。由于窗口和重传等原因,捕获的数据包可能不是按相同顺序排列的。
我可能会花费时间和精力,具体取决于您尝试构建的信息的潜在价值(即刑事或法医问题)。
答案2
假设客户端对每个下载的元素都使用一个新的 TCP 流,那么您可以使用 wireshark 来执行此操作。
使用每个 TCP 流的右键菜单中的“跟踪 TCP 流”选项。这将为您提供该会话中涉及的每个数据包。在对话框的底部,更改“整个对话”下拉菜单,使其仅包含从服务器到客户端的流量。
然后您可以将其另存为 Raw,每次都选择适当的文件名。
答案3
我浏览了这篇文章,它似乎描述了如何做你正在尝试做的事情:
https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/