pcapfix的使用(针对损坏的流量包)
当进行流量包的分析时,可能出现流量包已损坏,无法正常打开的情况。
此示例使用 png.pcap 文件。
使用此PCAP文件,无法识别格式。就无法进行下一步的流量分析。
对于这种情况也有大佬手工恢复,但对我来说难度有点大,pcapfix的用法是半小时琢磨出来的,在比赛这种会用就行(应该不会挖太深的坑吧,小声bb)。
pcapfix是一种修复损坏pcap文件的工具。它会检查一个完整的pcap全局头。如果有任何损坏字节就会修复它。如果缺少一个字节,它会创建和补充一个新的字节到文件的开头,然后试图找到pcap包头、检查和修复它。
手工的方法看别人的链接,这里仅展示工具用法。
PCAP 修复教程 (pcapfix) |F00LS BL0G
(211条消息) PCAP 修复教程 (pcapfix)_maimang09的博客-CSDN博客_pcap文件修复
第一步,pcapfix下载,pcapfix - 修复损坏的pcap / pcapng文件 (f00l.de),tar.gz是linux的,zip是win版本的。
以linux为例,tar存储位置为 /usr/shiyan
1、解压
tar zxvf pcapfix-0,2.tar.gz
make
make install
偷张图(手动emoji)
3、运行
cd 到该文件的目录下
将想要恢复的pcap文件存放在该文件目录中
命令行指令 pcapfix png.pcap 即可将文件恢复完成 同时文件夹内生成 fixed_png.pcap文件,即是恢复完成的pcap 导出后就能正常分析
该文的方法是参照文章ECS Linux系统安装pcapfix工具修复pcap数据包文件 (aliyun.com)写的,只是稍微扩充一点,勿介。
浙公网安备 33010602011771号