工具:Wireshark,WiFi,Winhex
什么是Wireshark?
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
还原两台设备传输的文件 :
第一步:将两台机子连接同一WiFi,电脑可在cmd命令窗口用ipconfig指令得到IP地址
手机可以直接点入WiFi查看分配的IP地址
第二步:打开Wireshark
选择所连接的WiFi端口进入,用ip.src==发送端的IP地址 初步筛选所得数据,
再用另外一个机子向正在捕获的机子发送文件得到所需数据,再对着数据点击右键
“追踪流”->"TCP分流"进一步筛选获得数据,
将整个数据改为第二项数据等于文件大小,将ASCII改为原始数据保存得到初始文件
再用winhex查看文件数据: 将文件拖入winhex然后查得照片(jpg)数据开头一般是FF D8 FF开头,删去前面多余部分即可还原
补充:JPEG (jpg),文件头:FF D8 FF
PNG (png),文件头:89 50 4E 47
GIF (gif),文件头:47 49 46 38
Windows Bitmap (bmp),文件头:42 4D
python反编译文件pyc的头:03 F3 0D 0A
pyd的文件头:4D 5A 90 00
ZIP Archive (zip),文件头:50 4B 03 04 ascii码部分是PK,可以直接根据PK判断是zip文件,也有可能是doc文件
rar文件: 52 61 72 21
7z文件头:37 7A BC AF 27 1C
MS Word/Excel (xls.or.doc),文件头:D0CF11E0
CAD (dwg),文件头:41433130
Adobe Photoshop (psd),文件头:38425053
Rich Text Format (rtf),文件头:7B5C727466
XML (xml),文件头:3C3F786D6C
HTML (html),文件头:68746D6C3E
Email [thorough only] (eml),文件头:44656C69766572792D646174653A
Outlook Express (dbx),文件头:CFAD12FEC5FD746F
Outlook (pst),文件头:2142444E
MS Access (mdb),文件头:5374616E64617264204A
WordPerfect (wpd),文件头:FF575043
Postscript (eps.or.ps),文件头:252150532D41646F6265
Adobe Acrobat (pdf),文件头:255044462D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E3828596
RAR Archive (rar),文件头:52617221
Wave (wav),文件头:57415645
AVI (avi),文件头:41564920
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
MPEG (mpg),文件头:000001BA
MPEG (mpg),文件头:000001B3
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
MIDI (mid),文件头:4D546864本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
