我有一个64字节的十六进制流 -
000A959D6816000A959A651508004500002E000000004006AF160A010101C0A8000A11D71EC6000000000000000050000000AD840000000102030405CC904CE3
如何将其导入Wireshark并查看整个数据包? 如果我将此流保存到文本文件并加载它,那么导入十六进制转储的选项在我的情况下似乎不起作用。
答案 0 :(得分:4)
由于这个十六进制流是十六进制的,并且对于十六进制到十六进制转换,“od”似乎不起作用。因此解决方案是将此十六进制转换回二进制,然后在该二进制文件上使用“od -Ax -tx1 [file]”。
xxd -r -p [hexfile] [binaryfile]
od -Ax -tx1 [binaryfile]
注意:使用组合-r -p读取没有行号信息且没有特定列布局的普通十六进制转储。
答案 1 :(得分:2)
可以将十六进制流转换为类似od的格式,通过一对coreutils进行过滤。例如,可以将输出馈送到text2pcap以设置链路层类型。
{ echo -n "0000 "; echo $hex_stream | fold -w 2 | paste -sd ' '; } | text2pcap -l 147 - $file
hex_stream是要解析的数据,file是由pcap撰写的text2pcap文件。我将其用作脚本的一部分,该脚本从十六进制流生成临时pcap并调用tshark进行剖析 - 这样可以立即解剖结果,无需人工干预。
How to Dissect Anything页面提供了有关解剖任意数据的更多信息。
答案 2 :(得分:0)
如果您按this页面所示格式化十六进制字符串,则应该可以使用Import from Hex Dump对话框导入您创建的文件。