Binary 仅使用tcpdump保存原始二进制有效负载
如何使用tcpdump捕获流量并仅以原始二进制格式保存完整负载(应用层数据,无tcp/ip头)?捕获流量并以PCAP格式将其写入磁盘后,您可以 使用tcpflow将每个流分离到各个文件中,然后运行一个文件 雕刻工具,如流文件上最重要的工具,可以雕刻出特定的图形 每个流中的文件类型。下面的示例将提取Window PE 流中的文件和PDF:Binary 仅使用tcpdump保存原始二进制有效负载,binary,tcpdump,packet-capture,Binary,Tcpdump,Packet Capture,如何使用tcpdump捕获流量并仅以原始二进制格式保存完整负载(应用层数据,无tcp/ip头)?捕获流量并以PCAP格式将其写入磁盘后,您可以 使用tcpflow将每个流分离到各个文件中,然后运行一个文件 雕刻工具,如流文件上最重要的工具,可以雕刻出特定的图形 每个流中的文件类型。下面的示例将提取Window PE 流中的文件和PDF: $ tcpflow -r traffic.pcap -o flows/ $ cat flows/* > big.flow $ foremost -t ex
$ tcpflow -r traffic.pcap -o flows/
$ cat flows/* > big.flow
$ foremost -t exe,pdf -i big.flow
$ tcpxtract --file traffic.pcap -o output/
其他工具包括ChaosReader和Bro的文件分析器。Tcpflow完成了我需要的工作!谢谢使用-B和-C标志,我可以将TCP有效负载中的原始二进制数据写入stdout。