먼저 분석해볼만한 패킷이 있어야 하는데, 없는 분들을 위해 와이어샤크 패킷 샘플 모아놓은 사이트를 투척합니다.
https://wiki.wireshark.org/samplecaptures
SampleCaptures - Wireshark Wiki
Sample Captures So you're at home tonight, having just installed Wireshark. You want to take the program for a test drive. But your home LAN doesn't have any interesting or exotic packets on it? Here's some goodies to try. Please note that if for some reas
wiki.wireshark.org
저는 이미지를 추출하고 싶어서 이거 썼어요
파일 > 열기 해서 열어줍니다.
상식적으로 http로 보냈겠죠? 필터에 http를 검색합니다
하단에 보니 이미지를 많이 갖고 있는 듯한 패킷들이 있습니다.
여기서 hexEditor가 나와줍니다. 다운받아줍시다. 국가 가까운 거 고르세요. 귀찮으신 분들을 위해 zip도 올립니다.
https://mh-nexus.de/en/downloads.php?product=HxD20
Downloads | mh-nexus
Downloads I am looking for new translators, if you want to help, here is a list of unmaintained translations. Note: Starting with HxD 2.3, the portable edition is available as separate setup program, and can be run with minimal privileges (no admin rights
mh-nexus.de
hex 에디터를 실행시켜 줍니다.
이후 파일 > 새로 만들기를 눌러 빈 창을 생성해주고
이제 wireshark에 가서 패킷의 dump값을 붙여넣어 봅시다.
패킷 우클릭 > 따라가기 > HTTP 스트림
꼭 raw (무편집 형식) 으로 해주세요.
이후, 다른 이름으로 저장해줍니다.
다시 HxD로 돌아와서, 아까 저장했던 파일을 열어줍니다.
여기서 우리가 찾아야 할 건, jpg 이미지입니다. 그리고 이런 파일들은 시그니처가 있습니다.
파일 형식시작 시그니처 (Header)끝 시그니처 (Footer)비교 표입니다.
JPEG | FF D8 FF | FF D9 | 가장 대표적인 이미지 시그니처 |
PNG | 89 50 4E 47 0D 0A 1A 0A | 없음 (CRC로 끝남) | 끝은 고정되지 않음 |
GIF87a | 47 49 46 38 37 61 | 00 3B | |
GIF89a | 47 49 46 38 39 61 | 00 3B | |
%PDF → 25 50 44 46 | %EOF → 25 45 4F 46 | ||
ZIP | 50 4B 03 04 | 50 4B 05 06 또는 50 4B 06 06 | |
RAR | 52 61 72 21 1A 07 00 | 없음 (끝 시그니처 없음) | |
MP3 (ID3) | 49 44 33 | 없음 | |
EXE | 4D 5A (MZ) | 없음 | 윈도우 실행파일 |
DOCX, XLSX, PPTX | 50 4B 03 04 | ZIP 기반, 끝 시그니처 존재 | 압축 구조 |
PCAP | D4 C3 B2 A1 또는 A1 B2 C3 D4 | 없음 | 리틀/빅엔디안 버전에 따라 다름 |
jpeg일 테니 FF D8
여기있군요.
끝 시그니처도 찾아보겠습니다.
보통 패킷의 맨 끝에 있습니다.
여기서 저희는 이미지만 추출해 내야 하기 때문에, 아까 jpeg 파일 시작점(ff d8 ff) 으로 가서, 그 이전 hex 값들은 다 지워줍니다. 이 윗부분 다 지워주세요.
다른 이름으로 저장하고.
jpg로 저장해줍니다
잘 복원되었습니다.
이건 제가 만든 파일인데 한번 이미지파일 추출해보세요.