elessarluy
Goto Top

Wireshark Bild herstellen

Hallo,

ich habe folgende kleine Frage. Hab ein bisschen gegoogelt, leider nichts gefunden.
Ich habe in den letzten Tagen mit dem Programm Wireshark etwas herum gesnifft. Kann ich aus meinem Capture eine Datei wieder erzeugen? z.B. Ich habe ein Bild über SMB gesnifft. Kann ich das wieder rekonstruieren?

Vielen Dank schon mal im Vorraus

Content-Key: 117253

Url: https://administrator.de/contentid/117253

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 02.06.2009 um 11:22:39 Uhr
Goto Top
Nein, denn dazu müsstest du

  • a.) die TCP Session und die (Kopier) Applikation inkl. Filesystem mit der TCP/UDP Session ID wiederherstellen, und...
  • b.) die Pakete wieder im Netz aussenden können.

Beides aber supportet der Wireshark nicht. Dafür benötigst du einen anderen Sniffer wie den Observer z.B.

Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mitglied: ElessarLuy
ElessarLuy 02.06.2009 um 11:33:14 Uhr
Goto Top
OK, der Observer ist ja dann schon eher eine teure kommerzielle Software. Einen kleinen Sniffer der das kann, kennst du nicht vielleicht?
Mitglied: aqui
aqui 02.06.2009 um 11:37:59 Uhr
Goto Top
Nein, den gibt es schlicht und einfach nicht !! Wireshark ist schon das mächtigste was es da auf dem Freeware Markt gibt aus dem MS netMonitor:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...

aber der kann das auch nicht !!
Mitglied: ElessarLuy
ElessarLuy 02.06.2009 um 11:40:20 Uhr
Goto Top
Ok.
Danke für die Antworten
Mitglied: ElessarLuy
ElessarLuy 03.06.2009 um 12:58:02 Uhr
Goto Top
Aber seltsam finde ich es trotzdem das es nicht geht. Einerseits kann ich mit Wireshark VoIP gespräche wiederherstellen, aber ein simpeles Bild geht nicht.
Mitglied: aqui
aqui 04.06.2009 um 13:18:12 Uhr
Goto Top
Das ist doch ganz logisch:
VoIP ist ein Stream mit dem RTP Protokoll oder H.323 und ein Bild wird hingegen als abgeschlossenen Datei übertragen mit zig Unterschiedlichen Protokollen.
Da du aber vor einer Übertragung nicht weisst wie ob mit FTP, HTTP, mit SMB als Windows CIFS oder oder oder... ist es so gut wie unmöglich das zu restaurieren.
Wenns mit Schlüsselprotokollen wie HTTPS, SCP, SSL, PPTP, IPsec, L2TP usw. usw. übertragen wird ist eine restauration sowieso utopisch wie du dir selber denken kannst !!

Wenn du das Protokoll aber genau kennst, kannst du den Dateninhalt mit einem Hex Editor natürlich wieder zusammenbauen und bekommst so auch wieder dein Bild !!