use*_*230 5 binary packet-capture tcpdump
如何使用 tcpdump 捕获流量并仅以原始二进制格式保存完整的有效负载(应用程序层数据,无 tcp/ip 标头)?
捕获流量并将其以 PCAP 格式写入磁盘后,您可以使用 tcpflow 将每个流分成单独的文件,然后运行文件雕刻工具(例如最重要的流文件),它可以从每个流中雕刻出特定的文件类型。以下示例将从流程中提取 Window PE 文件和 PDF:
$ tcpflow -r traffic.pcap -o flows/
$ cat flows/* > big.flow
$ foremost -t exe,pdf -i big.flow
另一个能够提取常见文件类型的工具是 tcpxtract:
$ tcpxtract --file traffic.pcap -o output/
其他工具包括 ChaosReader 和 Bro 的文件分析器。