利用WireShark將pcap數據流還原文件
使用工具: WireShark WinHex
1.打開pcap文件
2. 對數據流進行篩選
利用ctrl+f打開或Edit/編輯查找分組
選擇分組字節流、字符串,篩選框輸入“jpg"
回車查找,得到篩選后的數據流
3. 追蹤流
選擇任意結果的一行右鍵
->追蹤流->TCP流
4. 得到結果如圖
修改“顯示和保存數據為”-——原始數據
另存為
選擇路徑, 圖片后綴名為.jpg
得到的圖片但是打不開
5. 打開WinHex
選擇文件->打開->選擇剛剛保存的jpg文件
因為正常jpg文件是從“FF D8 FF E0 00…”開始的
所以我們將“FF D8 FF E0 00…”前面的數據都刪除掉
6. 保存修改后的文件 打開圖片
完成