我正在使用WireShark来捕获一个小网络分析项目的网络信息。我想做的其中一件事是查看共享驱动器上访问的文件(即使用SMB协议)。
是否可以仅从捕获的数据包中恢复完整路径名(例如\ server \ path \ to \ file.txt)?基于this资源,第四个数据包应包含UNC路径名,但我在捕获的会话中找不到它。
如果无法单独从数据包中恢复完整路径,是否还有其他方法可以在数据包中使用hte信息?例如,我知道数据包包含源IP和源生成的文件ID。这些有用吗?
由于
答案 0 :(得分:0)
你在错误的地方挖掘它。
您应该在Samba服务器中收集并记录该信息。
如果您要使用嗅探软件进行分析,那么您必须重建SMB会话。
P.S。更具体地说,您需要恢复以前对子目录树的所有请求。如果你需要将\ server \ path \恢复到\ asdf1 \ file.txt,那么你必须先找到目录“to”的请求,也要找到目录“asdf1”。目录是一个文件本身,其中包含 D 。