#pdf #wireshark #telnet
#PDF #wireshark #telnet
Вопрос:
У меня есть трассировка сети Wireshark, где есть разговор по Telnet. Здесь PDF-файл передается через Netcat. Исходный код PDF отправляется в нескольких пакетах, но если Right click -> Follow -> TCP stream
я смогу увидеть полный источник PDF (от тега %PDF до %%EOF). Я хочу экспортировать этот PDF-файл и визуально просмотреть его содержимое.
Я пытался сделать «Сохранить как» и сохранить с расширением .pdf, но не могу заставить читателя прочитать его.
Кто-нибудь знает, как это сделать?
Комментарии:
1. Можете ли вы опубликовать ссылку на pcap? Вы не сможете использовать функцию экспорта объектов Wireshark, поскольку netcat не является типом объекта. Вы можете использовать tshark для последовательного получения значения данных и добавления его в файл.
Ответ №1:
Я перенес файл .pdf с помощью nc
и зафиксировал результат. После загрузки файла захвата в Wireshark, щелкнув правой кнопкой мыши и выбрав «Следовать -> TCP Stream», я затем изменил выбор захвата с «Всего разговора» только на направление, в котором были переданы данные, и, наконец, я изменил «Показать данные как -> ASCII» на «Показать данные как -> Необработанный». После этого я выбрал «Сохранить как …» и сохранил его как файл .pdf. Мне удалось успешно открыть файл с помощью Adobe Reader.
Чтобы убедиться, что переданный файл идентичен исходному файлу, я сравнил хэши обоих файлов, и они оказались идентичными. Вероятно, вы можете оставить настройку на «Весь диалог», поскольку в любом случае данные поступают только в одном направлении, но изолировать направление потока данных не помешает. Ключевой частью, которую, я думаю, вы, вероятно, пропустили, было изменение ASCII на Raw.
(ПРИМЕЧАНИЕ: если это не ответ на ваш вопрос / проблему, то, как упоминал @ross-jacobs, нам, вероятно, потребуется взглянуть на файл pcap.)
Комментарии:
1. В точку. Именно то, чего мне не хватало. Отличный ответ, спасибо!