WireShark还原上传附件

通过WireShark抓取到网络包时，尽量缩短抓包时间，使数据包的数量尽量小，便于分析。条件栏，通过ip.addr限定IP地址，使数据包显示的更加少。

结合浏览器F12，选定数据包后，通过数据包右键，追踪HTTP流。

选择数据流方向，可限定本地向服务器上传附件的上传数据。选择 原始数据

 

 

 

另存为 allFiles

使用winHex打开

 

 

 结合wireShark分析附件类型，新建一份相同类型的文件，也通过winHex打开，确定该文件的起止标志。

在保存的文件中，删除起止标志前后的数据，另存为，注意修改后缀。即可还原网络抓包获得的附件。

另：可通过winHex测试两份文件的异同。