我正在使用 wireshark 分析加密流量的捕获。我在 wireshark 中使用正确的密码解密了流量,并且可以看到每帧的解密数据。
问题是,如果我用某个字符串搜索数据包,我找不到它。尽管我确信该字符串已被解密,因为我可以在帧的解密数据中看到此类数据。
我已经尝试使用字符串选项在数据包字节/列表/详细信息中进行搜索,并且我也通过十六进制值进行搜索,但没有成功。
我想到了一个解决方法,即使用 tshark 解密流量并将十六进制转储到文本文件。之后,使用 grep 查找字符串。然而,这不是一个好方法。
如何在解密的流量捕获中使用 wireshark 找到字符串?
答案1
这寻找功能仅适用于解析字段,解密数据如果不交给解析器进行解释,将不会有任何解析字段。因此,您可以为解密数据编写解析器,或者至少应该能够使用显示过滤器(例如)来data contains "some string"
查找包含您感兴趣的字符串的数据包。