我正在尝试调试插入 USB RNDIS 网络适配器时发生的网络流量。现在我可以使用 Wireshark 分析 USB 插入后的流量,但除了接口启动后手动启动外,我无法启动捕获(我最感兴趣的数据包已经过去)
有没有办法在界面出现时自动开始捕获?或者在界面消失时暂停捕获?
如果 Wireshark 无法实现这一点,是否有其他程序可以捕获此流量?
答案1
Windows 上有一个解决方案,使用
USBPcap,一款与 Wireshark 集成的适用于 Windows 的开源 USB 嗅探器。它使用USBPcapCMD.exeWireshark 也安装的程序。
该方法在文章中有详细讨论 Windows 之旅的 USB 数据包捕获,但这里有一个总结:
- 插入设备并使用
USBPcapCMD.exe它识别此设备所连接的根集线器 - 拔下设备并停止
USBPcapCMD.exe - 再次运行
USBPcapCMD.exe,选择 Root Hub 并定义输出.pcap文件 - 插入设备
- 按 Ctrl+C 停止收集数据
- 启动Wireshark并打开
.pcap文件进行分析。
您还可以通过在命令提示符(cmd)中输入以管理员身份运行类似于以下命令来在 Wireshark 中进行实时捕获:
USBPcapCMD.exe -d \\.\USBPcap2 -o - | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -