通过数据流(wireshark)还原文件(软件)方法
举例1:恢复通过网页上传的PDF文件
1.打开wireshark的抓包,找到上传文件的数据流
2.跟踪tcp数据流
3.可以看到,此处是上传了一个PDF文件,同时带上了http的头部和尾部(文件还原时需删除)
4.选择数据流,并选择数据流为原始数据流(不转成原始数据流,文件会改变)
5.文件另存为.bin文件
6.通过winhex打开pdf.bin文件
7.删除http头部
8.删除http尾部
9.文件另存为pdf.pdf
10.文档正常打开
举例2:恢复通过网页上传的exe文件
1.打开wireshark的抓包,找到上传文件的数据流
2.跟踪tcp数据流
3.可以看到,此处是上传了一个exe的执行文件,同时带上了http的头部和尾部(文件还原时需删除)
这里的……是代表有用的空格,还原时不能删除
4.选择数据流,并选择数据流为原始数据流(不转成原始数据流,文件会改变)
5.文件另存为.bin文件
6.通过winhex打开123.bin文件
7.删除http头部
8.删除http尾部
9.文件另存为123.exe
10.可执行文件正常打开执行
举例3:通过wireshark导出文件
Wireshark能够导出post/get到的所有文件,但是存在两种情况
(1)对于图片、exe执行文件等未被服务器执行而直接get下来的,客户获取源文件;但对于post上传的图片、exe文件,只能看到post请求体。
(2)对于php、jsp等会被服务器执行的,则不能看到解析前的源代码,只能看到解析后的源代码(就是网页上右击鼠标看到的源代码)。
获得方式
打开相应的文件
1.get到的exe文件
2.post请求体
3.get到经过服务器解析的文件
4.Get到的图片
原文始发于微信公众号(数据取证杂谈):【应急响应篇】wireshark还原文件(软件)方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论