我正在进行SMB2协议解析。使用WireShark捕获数据包时,我发现创建请求中包含的文件名已替换为创建响应中的文件ID以及后续通信。我想知道如何将文件名映射到文件ID,或如何通过FIle ID找到文件名。谢谢!
答案 0 :(得分:1)
您可以与Posix原语进行比较。在fopen之后(0你所拥有的是文件句柄而不是文件名。要记住你需要考虑代码的前一行之一的名称 - 上下文。这正是Wireshark的工作方式。它与响应匹配相应的请求并保存与ID关联的名称。
如果您只有ID而没有名称,则可以通过SMB查询文件信息,服务器将使用文件名进行响应。