如何使用tcpdump捕获流量并仅以原始二进制格式保存完整的有效负载(应用层数据,没有tcp / ip标头)?
答案 0 :(得分:3)
捕获流量并以PCAP格式将其写入磁盘后即可 使用tcpflow将每个流分成单个文件,然后运行文件 雕刻工具,如最重要的流动文件,可以雕刻出具体的 每个流的文件类型。以下示例将提取Window PE 来自流程的文件和PDF:
$ tcpflow -r traffic.pcap -o flows/
$ cat flows/* > big.flow
$ foremost -t exe,pdf -i big.flow
另一个能够提取常见文件类型的工具是tcpxtract:
$ tcpxtract --file traffic.pcap -o output/
其他工具包括ChaosReader和Bro的文件分析器。