經過了這幾天的介紹，相信大家對於Wireshark的基本功能都有了一些了解，今天則要介紹要如何從Wireshark中把檔案拿出來。

把檔案拿出來是什麼意思呢？因為我們所收到的Wireshark包含了流經網路的所有封包，也就是說，如果你在飛加密的連線中，傳了一個檔案出去，那這個檔案的內容也會被Wireshark所擷取下來，所以我們就有辦法可以透過Wireshark來取得這些檔案。

在介紹怎樣把檔案取出前，必須先跟大家分享一些觀念。

1. 封包中的內容會以Hex Value呈現，所以我們必須要先準備一個Hex Editor才能來處理封包內容。
   例如Windows系統可以使用的UltraEdit是很有名的老產品。
   或是Linux可以使用的Hexedtor擁有簡單的圖形化界面，跟UltraEdit蠻像的。
2. 不同種類的檔案從Hex Value跟ASCII看起來，會有不同的開頭跟結尾，例如從ASCII看的話，docx檔案的開頭就會是PK。
3. 一個檔案不一定會在一個封包內傳送完成，一個檔案的開始也不一定會在封包的開頭，所以要取得檔案必須先把封包排序，並且確認檔案開頭跟結尾各在哪裡，接著手動剪剪貼貼，才能夠得出最後完整的檔案。但在剪貼的過程也要小心，如果缺了其中幾個字元就會檔至檔案不正確囉。
4. 剪貼完成的檔案必須要能夠判斷解碼方式，例如它是一個怎樣的檔案，是docx嗎？還是zip呢？如果無法判斷就無法正確打開檔案。
5. 如果懶得用Wireshark慢慢剪封包拼拼湊湊的話，有些軟體像是Netwitness，你只要把pcap檔匯入後，就有辦法可以把封包內含的檔案直接下載下來，不過這套系統好像蠻貴的就是。

總之不是一件很容易的事情，需要耐心細心跟愛心，才能得到豐碩的結果喔。