我正在寻找一种使用命令行从 PCAP 中提取二进制文件的方法。我意识到可以使用 Wireshark -> 文件 -> 导出 -> http 对象等。但tshark似乎不支持这一点。
有没有办法做到这一点或围绕此编写代码,最好使用python或bash。或者有人知道可以做到这一点但我不知道的工具。
我更喜欢该方法是否可自动化/可编写脚本。
答案1
我认为tcp提取这就是您正在寻找的。
答案2
从 Wireshark 2.3.0 开始,您可以使用 tshark 导出 HTTP 对象。 (Wireshark 2.3.0 尚未发布,因此您可以从这里.)
要从命令行提取 HTTP 对象,请运行以下命令:
tshark -r mypcap.pcap --export-objects "http,destdir"