iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 10
4
Security

鯊魚咬電纜:30天玩Wireshark系列 第 13

[Day 10] 如何從pcap檔中把檔案複製出來?

經過了這幾天的介紹,相信大家對於Wireshark的基本功能都有了一些了解,今天則要介紹要如何從Wireshark中把檔案拿出來。

把檔案拿出來是什麼意思呢?因為我們所收到的Wireshark包含了流經網路的所有封包,也就是說,如果你在飛加密的連線中,傳了一個檔案出去,那這個檔案的內容也會被Wireshark所擷取下來,所以我們就有辦法可以透過Wireshark來取得這些檔案。

在介紹怎樣把檔案取出前,必須先跟大家分享一些觀念。

  1. 封包中的內容會以Hex Value呈現,所以我們必須要先準備一個Hex Editor才能來處理封包內容。
    例如Windows系統可以使用的UltraEdit是很有名的老產品。
    或是Linux可以使用的Hexedtor擁有簡單的圖形化界面,跟UltraEdit蠻像的。
  2. 不同種類的檔案從Hex Value跟ASCII看起來,會有不同的開頭跟結尾,例如從ASCII看的話,docx檔案的開頭就會是PK。
  3. 一個檔案不一定會在一個封包內傳送完成,一個檔案的開始也不一定會在封包的開頭,所以要取得檔案必須先把封包排序,並且確認檔案開頭跟結尾各在哪裡,接著手動剪剪貼貼,才能夠得出最後完整的檔案。但在剪貼的過程也要小心,如果缺了其中幾個字元就會檔至檔案不正確囉。
  4. 剪貼完成的檔案必須要能夠判斷解碼方式,例如它是一個怎樣的檔案,是docx嗎?還是zip呢?如果無法判斷就無法正確打開檔案。
  5. 如果懶得用Wireshark慢慢剪封包拼拼湊湊的話,有些軟體像是Netwitness,你只要把pcap檔匯入後,就有辦法可以把封包內含的檔案直接下載下來,不過這套系統好像蠻貴的就是。

總之不是一件很容易的事情,需要耐心細心跟愛心,才能得到豐碩的結果喔。


上一篇
[Day 9] 繼續玩過濾指令
下一篇
[Day 11] 實演!把檔案拿出來!
系列文
鯊魚咬電纜:30天玩Wireshark51

1 則留言

0
柒拾柒
iT邦新手 5 級 ‧ 2018-01-08 13:55:49

如果耐心不夠,有其他更快的方法嗎?
好想知道^_^

WLLO iT邦新手 4 級 ‧ 2018-01-08 14:05:57 檢舉

施主,你有幾個方法可以選擇。

  1. 磨練自己的意志力及耐心
  2. 參考Day 18的方式就可以用Wireshark把檔案取出(網址:https://ithelp.ithome.com.tw/articles/10196175)
  3. 使用NetworkMiner等軟體
  4. 如果施主錢錢很多,也可以購買Netwitness等商用軟體

我要留言

立即登入留言