通过wireshare抓取的网络数据包(pcap、pcapng)提取文件有多种方式,著名的Wireshark与NetworkMiner网络流量分析软件都自带了提取文件的功能,Wireshark对于http的流量数据可以还原页面信息,不过html格式外的文件类型不太理想,NetworkMiner则需要高级版才能导入网络数据包文件。另外foremost工具也可以提取,但发现提取的文件并不全。

那么基于以上情况,我这里使用了pcapfex来提取文件,实际上wireshark结合这个工具可以满足了。
项目地址:https://github.com/vikwin/pcapfex

运行条件
Python 2.7、dpkt库

安装库

sudo pip install dpkt
sudo pip install regex

使用方法

python pcapfex.py test.pcap 

遇到以下报错解决
从pcap网络数据包提取文件

这里使用wireshark自带的命令行工具editcap转换一下:

editcap -F libpcap -T ether test.pcap  test.pcapng

之后就可以使用pcapfex提取你需要的文件了。


更多参考:

在线分析Pcap: https://www.packettotal.com/
从网络数据包提取文件-Rebecca Deck :
https://www.sans.org/reading-room/whitepapers/forensics/extracting-files-network-packet-captures-36562
蓝队基础-PCAP文件提取: https://www.sneakymonkey.net/2017/03/03/pcap-file-extraction/