跟踪流
tcp stream
cap--->pcap
导出对象
用data过滤
tcp.stream eq 17
另存为原始数据 bin作为扩展名
处理原始数据的编辑器
winhex1510.zip
winhex.exe
换行符对应十六进制的0d0a
包括0d0a删除
hash1.0.4
winhex
以上是两个常用的工具软件
推荐网站:网络取证
forensicscontest.com
如果不知道使用的应用软件,即协议
ssl tls
通讯地址,美国IP
www.882667.com IP地址查询
解码为
decode as
keep alive
outgoing
Here's the secret recipe...
文件等必须以数据来传输
保留PK
PK-----PK
504B0304
