how to extract files from a pcap file?
[+] Open the pcap files in WireShark
와이어 샤크에서 pcap 파일을 열자.
허벌나게 많은 패킷 중에서 ftp 파일만 보고 싶다. 고렇다면
expression에서 ftp-data를 찾아 filter를 걸어주거나
filter에 요렇게 "ftp-data"라고 필터를 건다!
[+] Extract a file from a pcap
ftp로 전송된 파일을 추출하고자 한다면 해당 패킷에서 우클릭 한 다음
"Follow TCP Stream"을 선택한다.
[+] Do you know the zip file format?
파일 구조를 자주 본 사람이라면 요걸 보고 딱! 느낌이 올 것이다.
그렇다. PK로 시작하는 헤더를 가진 파일 포맷... ZIP 파일이다.
just do "Save As" as a zip file.
ex) XXX.zip
참고로 아래는 실제 zip 파일을 hex editor로 열었을 때이다.
PK...로 시작한다는 거.
No comments:
Post a Comment