Просмотр содержимого документов docx, pdf и текстовых файлов, полученных в Wireshark через файл PCAP

Question

Итак, у меня есть файл pcap, который я открыл с помощью инструмента Wireshark. Теперь есть 4 файла, которые я могу найти через фильтр HTTP: 1. Файл docx 2. Файл pdf 3. Файл txt 4. Файл PNG

Я извлек файл изображения PNG следующим образом:

Щелкните правой кнопкой мыши на пакете -> следовать -> Используя TCP -> Преобразовал файл из ASCII в raw -> Выполнил поиск 'FFD8' и 'FFD9, скопировал вставленный необработанный сетевой текст в шестнадцатеричный редактор HxD и сохранил его. как PNG.

Я не знаю, как просмотреть содержимое остальных. Я использую систему Windows 10. Любая помощь будет оценена.

Заранее спасибо.

Answer 1

Wireshark имеет возможность экспортировать файлы из HTTP. На Macos & Windows вы можете найти это в GUI как

File > Export Objects > HTTP

Более подробную информацию об этом можно найти в Руководстве по Wireshark на https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html#ChIOExportObjectsDialog

Вы также можете сделать это с помощью tshark с помощью tshark --export-objects http,$dest_dir. У tshark.dev есть статья об использовании этого здесь .