Как скопировать шестнадцатеричные данные захваченной формы пакета wireshark

Question

Как скопировать шестнадцатеричные данные захваченной формы пакета wireshark

вот пример это захваченные пакетные данные

00000000  00 6e 0b 00                                                                          .n..
00000004  4d 5a e8 00 00 00 00 5b  52 45 55 89 e5 81 c3 81                    MZ.....[ REU.....
00000014  12 00 00 ff d3 89 c3 57  68 04 00 00 00 50 ff d0                       .......W h....P..
00000024  68 f0 b5 a2 56 68 05 00  00 00 50 ff d3 00 00 00                      h...Vh.. ..P.....
00000034  00 00 00 00 00 00 00 00  00 00 00 00 e0 00 00 00                    ........ ........
00000044  0e 1f ba 0e 00 b4 09 cd  21 b8 01 4c cd 21 54 68                      ........ !..L.!Th
00000054  69 73 20 70 72 6f 67 72  61 6d 20 63 61 6e 6e 6f                      is progr am canno
00000064  74 20 62 65 20 72 75 6e  20 69 6e 20 44 4f 53 20                     t be run  in DOS 
00000074  6d 6f 64 65 2e 0d 0d 0a  24 00 00 00 00 00 00 00                     mode.... $.......

и я хочу только шестнадцатеричную часть, как это

  00 6e 0b 00 
  4d 5a e8 00 00 00 00 5b  52 45 55 89 e5 81 c3 81
  12 00 00 ff d3 89 c3 57  68 04 00 00 00 50 ff d0

Я пытаюсь щелкнуть правой кнопкой мыши по пакету и выбрать copy - > bytes - >hex stream но данные hex, которые я получил, совсем не похожи на вышеуказанные данные Итак ,как я могу скопировать шестнадцатеричные данные захваченного пакета wireshark?

спасибо за внимание

11

network-programming packet-capture wireshark

автор: Natthawat Klakpetch

3 ответов

автор: ysh443 · Accepted Answer · 2015-04-01 08:44:33

на панели Wireshark "список пакетов" щелкните правой кнопкой мыши нужный пакет и:

1) Если вы выберите копировать - > байты - >шестнадцатеричный поток, вы получите шестнадцатеричные цифры в виде одной длинной строки без пробелов

 39cb08004528053f000000006f1105faac11745dac11740c039......

2) Если вы выберите Копировать - > Байты - > Смещение Hex, вы получите шестнадцатеричные цифры, как показано на GUI , включая смещение каждой строки начиная байт (смещение кадра)

0010   05 3f 00 00 00 00 6f 11 05 fa ac 11 74 5d ac 11    
0020   74 0c 03 9e 03 9d 05 2b 00 00 07 e0 8f ee 8f 1c    
0030   ff 00 00 00 00 00 09 0f 00 58 39 cb 60 00 00 00    
0040   11 80 08 00 73 00 02 44 00 00 00 00 03 dd de de

автор: joke · Accepted Answer · 2015-12-09 15:53:17

можно использовать TShark.
TShark поставляется с Wireshark.
Используйте команду:
tshark-X-r dns.pcapng рамы.количество == 10

Output:
D:\Wireshark>tshark -r dns.pcapng frame.number == 10 -x
0000  00 25 9c ca 94 fe 90 e6 ba 71 70 03 08 00 45 00   .%.......qp...E.
0010  00 3f 6d 61 00 00 80 11 7d dc 0a 01 01 0a 11 22   .?ma....}......"
0020  33 44 f0 1d 00 35 00 2b be 3e 71 dd 01 00 00 01   3D...5.+.>q.....
0030  00 00 00 00 00 00 0d 73 74 61 63 6b 6f 76 65 72   .......stackover
0040  66 6c 6f 77 03 63 6f 6d 00 00 ff 00 01            flow.com.....

скопируйте и вставьте шестигранную часть.

надеюсь, что это помогает

автор: user276648 · Accepted Answer · 2017-03-03 09:08:25

Если есть несколько пакетов, которые вас интересуют, вы можете экспортировать их в файл.

Марк эти пакеты (щелкните правой кнопкой мыши на каждом пакете, затем пометить пакет (переключатель) или Ctrl + M)
выбрать File > Export > File.... Убедитесь, что вы выбрали помеченные пакеты.
если вас интересуют только шестнадцатеричные данные, убедитесь, что только Пакета Байт проверен в Формат Пакета

обратите внимание, что при экспорте у вас также есть выбор с от первого до последнего отмечены а также ряд, если интересные пакеты находятся рядом друг с другом.