好的,我意识到我的标题很模糊。让我详细说明一下。这是我的情况:
我处于测试环境中,因此我知道所有变量(WPA2 网络密码/PSK 密钥)。当我的适配器处于监控模式时,我在 WPA2 加密网络上使用 Wireshark 执行了无线网络捕获,因此无线驱动程序不会自动解密传递给 Wireshark 的任何数据,因此我看到的只是标有“802.11”协议的数据包。我发送了一些解除身份验证的数据包来捕获所有附近设备的 WPA2-PSK 临时会话密钥。然后我转到 Wireshark 的编辑>首选项>协议>IEEE 802.11 并启用密钥解密,输入我的网络 WPA-PSK,在修改了一些麻烦的 FCS 和保护位设置后,能够成功实时解密数据。因此,我启动手机并访问一个没有 SSL 的包含图像数据的网站,并看到数据通过了 wireshark。所以我能够成功捕获该数据。我将它保存到 pcap 文件中,以便外部程序可以轻松读取它(我想到的是drifternet)。
然而,当我进入driftnet时,它没有看到我期望的任何图像。很奇怪。所以我回到wireshark并打开pcap,修改了设置,然后意识到它保存的是原始版本,而不是带有解密WPA2数据的版本。好吧,胡说八道。
就我目前的情况而言,有没有什么软件包可以用来解密 pcap文件(不只是用于 Wireshark 查看会话,而是实际更改文件中的数据包)?Wireshark 是否提供此功能?
TL;DR:我知道 WPA2 网络的 PSK,并且有一些通过该网络发送的图像的 pcap。我可以通过解密器运行 pcap 文件,以便在漂移网中看到图像吗?