Предположим, у меня есть журнал трафика Wireshark с веб-сайта.
Могу ли я реконструировать различные элементы, такие как HTML-файлы, файлы изображений, файлы Java-скриптов и т. д.?
В идеале он должен был бы взять файл .pcap и автоматически сгенерировать отдельные файлы.
решение1
Почему вы хотите сделать это именно так? Что-то не совсем на уровне?
Лично я не видел ни одной программы, подобной той, что вы описываете.
Если подумать, то это будет довольно сложная задача, и лучше всего ее получить из резервных исходных данных. Захваченные пакеты, скорее всего, не будут в том же порядке из-за оконных операций, повторных передач и т. п.
Я могу потратить время и усилия в зависимости от базовой ценности информации, которую вы пытаетесь собрать (например, вопросы уголовного или судебно-медицинского характера).
решение2
При условии, что клиент использует новый TCP-поток для каждого загружаемого элемента, это можно сделать с помощью Wireshark.
Используйте опцию Follow TCP Stream из контекстного меню каждого из потоков TCP. Это даст вам каждый пакет, участвующий в этом сеансе. В нижней части диалогового окна измените раскрывающийся список "Entire Conversation" так, чтобы он включал только трафик от сервера к клиенту.
Затем вы можете сохранить файл как Raw, каждый раз выбирая соответствующее имя файла.
решение3
Я наткнулся на эту статью, которая, кажется, описывает, как сделать то, что вы пытаетесь сделать:
https://blog.rootshell.be/2009/04/15/forensics-reconstructing-data-from-pcap-files/