1) 我正在尝试使用我的台式计算机对我的网络连接进行长期监控,但是如果计算机在没有先正确退出网络监控程序的情况下关闭,那么 .cap 文件就会损坏,我无法从中提取有用的数据。
2) 我正在寻找一个网络监控工具(如 Wireshark 或 Microsoft Network Monitor 等),即使应用程序被无意中终止,该工具也能成功地将(未损坏的)捕获文件写入磁盘。捕获程序可能会因机器内存不足、系统崩溃、Windows 更新或其他重新启动导致的重新启动等原因而意外终止。基本上,程序需要将接收到的数据作为 .cap 文件流式传输到磁盘,或者可能使用不同的文件格式 - 可能是文本文件等人类可读的格式,这样即使文件在技术上已损坏,我仍然可以通过文本编辑器自己阅读它。
3) 使用链文件较小的捕获“链”对我来说不起作用,因为我需要查看最后一点数据。捕获大部分数据但丢失最后一点数据并不能满足我的需求。我需要能够检查通过线路发送的最后一点数据,以查看该数据是否是导致崩溃/重启的原因。
4)或者,一个可以成功地取出损坏的 .cap 文件并修复该文件也可以。
5) 我无法使用网络设备来监控流量,解决方案需要在 Windows 7 64 位台式计算机上运行的软件。
答案1
使用 tshark 并设置 tshark 频繁切换到不同的新文件。这样你就不会丢失整个捕获,但可能只会丢失一小部分较新的东西。有很多选择设置新文件的使用频率。
然后在进行分析时根据需要只需读取或合并所有文件即可。