从pcap的DNS流量中分离出隐藏信息
来源:互联网 发布:纹身图案软件 编辑:程序博客网 时间:2024/05/16 07:42
参考:
http://blog.csdn.net/u011500307/article/details/25838075
89504e470d0a1a
打开文件是一个pcap文件,在wireshark里面观察可以看到很多dns,这里第一个dns的地址是89504e470d0a1a.asis.io,这个89504e470d0a1a
是png的开始的几个数据,叫做magic numbers.
➜ ~ hexdump /Users/caiqiqi/Desktop/截屏/Screenshot_2017-06-09_上午8.34.00.png|head -3 [0:41:40]0000000 89 50 4e 47 0d 0a 1a 0a 00 00 00 0d 49 48 44 520000010 00 00 03 ba 00 00 00 e0 08 06 00 00 00 2d f9 1a0000020 61 00 00 0a ae 69 43 43 50 49 43 43 20 50 72 6f
所以可以猜测应该是所有的dns请求的地址的第一部分组合成了一个Png图片。
先是用dns.flags == 0x8180 and dns.qry.name matches "[0-9a-f]{14}.asis.io"
来过滤出所有的dns,如下图
再就是选择file—> export specified packets
保存好后可以直接用string来提取此文件中的字符串,用grep过滤出所有的十六进制的字符串,再用tr命令去除换行符号。
strings qweqwe.pcapng | grep '^[a-z0-9]\{14\}$' | tr -d '\n' > test.txt
再将test.txt转化成相应的二进制png就可以了。
xxd -r -p test.txt out.png
最后的图片如下:
阅读全文
0 0
- 从pcap的DNS流量中分离出隐藏信息
- 从Bootstrap中分离出tab组件的样式
- 从信息隐藏的一个需求看C++接口与实现的分离
- C++箴言:从模板中分离出参数无关的代码
- C++箴言:从模板中分离出参数无关的代码
- IplImage的使用 从三通道图中分离出三个单通道
- 从库dump文件中分离出或去除某个表的数据
- IplImage的使用 从三通道图中分离出三个单通道
- 调用String类的spilt()方法,从文本中分离出单词。
- 我国科学家从壁虎中分离出抗肿瘤成分
- [C语言(VC)] 从路径字符串中分离出文件名
- 如何从img镜像文件中分离出文件系统
- 从flv格式中分离出裸h264
- 从字符串分离出数值
- 核查cdn加速的域名信息 从dns记录中遍历
- 从以空格为分隔符的整数字符串中分离出所有整数的Erlang程序
- 从pcap文件中还原文件
- 怎样从MIDI文件中提取出音符的绝对音高信息
- c++ MFC int与CString互转
- [LeetCode]83. Remove Duplicates from Sorted List(删除有序链表的重复元素 )
- Fragment概述
- onResume
- for_each使用方法详解[转]
- 从pcap的DNS流量中分离出隐藏信息
- 问题(已解决):push pop for循环中push变量,变量随之改变的问题
- 分布式锁的几种实现方式~
- 语法分析-1
- mysql grant 用户权限总结
- XML总结(二)
- Android常用控件-02
- OSX shell 添加sublime text 启动命令
- Elasticsearch 的 Shard 和 Segment