当前位置：文江博客话题详情

解密编码：数据包分析工具

发布于 2024-07-13 17:43:29 字数 237 浏览 12 评论 0原文

我正在为此寻找比 Wireshark 更好的工具。 Wireshark 的问题在于，它没有清晰地格式化数据层（这是我正在查看的唯一部分），以便我比较不同的数据包并尝试理解第三方编码（这是闭源的）。

具体来说，有哪些用于查看数据而不是 TCP/UDP 标头信息的好工具？特别是格式化数据以进行比较的工具。

非常具体：我想要一个可以比较多个（不仅仅是 2 个）十六进制文件的程序。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

转角预定愛 2024-07-20 17:43:29

请查看来自 BreakingPoint Labs 的这篇博文。他们正在讨论手动协议逆向工程和一组基于 PacketFu 构建的工具来完成此任务更轻松。

与您的问题相关的是一组工具，可以轻松识别和突出显示数据包的更改。下面是一个示例屏幕截图，显示了使用颜色来概述数据包差异的情况：

_{（来源：breakpointsystems.com）}

回复收藏 0 原文

泪痕残 2024-07-20 17:43:29

坦率地说，你最好的选择就是自己推出。

获取一种您熟悉的脚本语言并开始解决问题。首先编写一个简单的多路比较，但是一旦您开始找到您认为重要（或您认为可能重要）的模式，请返回并将它们添加到代码中 - 从输出中消除它们，突出显示它们，翻译它们将它们替换为另一种符号，用它们的“含义”或它们的角色的一些高级描述来替换它们——无论什么看起来合适。如果你无法决定，就让它成为一个选择。

您之所以需要可视化软件，是因为您想要一些东西来帮助您形成并内化对其编码的理解。但是您要做的比较只是您将使用的过程的一部分（本质上是科学方法）——您还将形成和修改对数据包各个部分的含义以及它们如何相互作用的猜测没有任何

预先构建的工具可以为您提供帮助，但是良好的脚本语言（例如 python、ruby，甚至 perl）将会有很大帮助。当你形成一个理论时，将其编码并进行尝试。混杂你的代码，尝试你想到的不同想法，在你进行过程中构建针对这个问题定制的一系列技巧。

——马库斯

Q 不要陷入尝试使用 C 或 Java 或其他东西来执行此操作的陷阱。您将玩得又快又松，并且应该拥有一个不需要变量声明、编译等的工具。一旦您了解了它的工作原理，就有很多机会收紧它并重写它。 /em>

回复收藏 0 原文

寂寞陪衬 2024-07-20 17:43:29

您的问题不是分析网络数据，而是根据您的需求描述比较二进制文件。

我将通过任何嗅探器提取应用程序数据，即通过 Zoreadche 或 Wireshark 所描述的 tcpdump（即通过跟踪 TCP 会话）。然后将其保存到文件中并通过任何文件比较工具进行比较。您可以尝试这些（最流行的）：

Examdiff Pro。比较目录速度非常快。
Winmerge。虽然不如 examdiff pro 快，但它是开源的，并且正在迅速发展。这是我的第一选择。
超越比较。这是我知道的唯一一个文件比较工具，它完全可以满足您的需求，即同时比较尝试文件。

回复收藏 0 原文

梦里°也失望 2024-07-20 17:43:29

仅对于 HTTP，我曾经使用过一个名为 Effetech 的出色工具。
（虽然现在看来他们支持的不仅仅是HTTP......）

回复收藏 0 原文

醉生梦死 2024-07-20 17:43:29

问题是应用层的数据不标准（极少数例外，如HTTP、POP3等）。如果 Wireshark 等工具不知道格式，则无法解码此信息。

我知道一些旧版本的 Ethereal（现在是 Wireshark）可以选择（您可能必须启用它）来显示有效负载。期望它没有意义，大多数协议都是二进制的！

回复收藏 0 原文

天邊彩虹 2024-07-20 17:43:29

如果您使用 ethereal 进行了捕获，则可以读取该捕获，或者可以使用 tcpdump 进行捕获。要捕获，请使用 tcpdump 命令，例如 tcpdump -s 0 -qn -X ，或 tcpdump -X -r filename 将读取捕获。

22:08:33.513650 IP 192.168.32.10.40583 > 69.59.196.211.80: tcp 1261
0x0000:  4500 0521 18ec 4000 4006 322a c0a8 200a  E..!..@[email protected]*....
0x0010:  453b c4d3 9e87 0050 b0b6 4b4f 1598 0090  E;.....P..KO....
0x0020:  8018 1920 9b4f 0000 0101 080a 002e 701b  .....O........p.
0x0030:  093c bc38 4745 5420 2f75 7365 7273 2f32  .<.8GET./users/2
0x0040:  3032 3637 2f7a 6f72 6564 6163 6865 2048  0267/zoredache.H
0x0050:  5454 502f 312e 300d 0a48 6f73 743a 2073  TTP/1.0..Host:.s
0x0060:  7461 636b 6f76 6572 666c 6f77 2e63 6f6d  tackoverflow.com

或者还有另一个 tcpick 可能就是您想要的。您可以捕获 TCP 连接的有效负载，并将其显示为十六进制或保存。

If you have a capture you have done with ethereal you could read the capture, or you could do your captures with tcpdump. To capture use a tcpdump command like tcpdump -s 0 -qn -X , or tcpdump -X -r filename will read a capture.

22:08:33.513650 IP 192.168.32.10.40583 > 69.59.196.211.80: tcp 1261
0x0000:  4500 0521 18ec 4000 4006 322a c0a8 200a  E..!..@[email protected]*....
0x0010:  453b c4d3 9e87 0050 b0b6 4b4f 1598 0090  E;.....P..KO....
0x0020:  8018 1920 9b4f 0000 0101 080a 002e 701b  .....O........p.
0x0030:  093c bc38 4745 5420 2f75 7365 7273 2f32  .<.8GET./users/2
0x0040:  3032 3637 2f7a 6f72 6564 6163 6865 2048  0267/zoredache.H
0x0050:  5454 502f 312e 300d 0a48 6f73 743a 2073  TTP/1.0..Host:.s
0x0060:  7461 636b 6f76 6572 666c 6f77 2e63 6f6d  tackoverflow.com

Or there is another tcpick that may be what you want. You can capture the payload of tcp connections, and have it displayed as hex or saved.

回复收藏 0 原文

~没有更多了~