前言：

? 在前面的實(shí)驗(yàn)里我們進(jìn)行了JSunpack-n的安裝及其簡(jiǎn)單使用。JSunpack-n還有另外一些功能需要進(jìn)行測(cè)試試驗(yàn)，因?yàn)楸救艘彩莿偨佑|這些東西。本文就其中一個(gè)“功能點(diǎn)”進(jìn)行實(shí)驗(yàn)。

? 這里并不保證JSunpack-n一定要具有實(shí)驗(yàn)的關(guān)鍵功能點(diǎn)，只是使用實(shí)驗(yàn)證實(shí)此功能點(diǎn)是否存在。

版權(quán)說(shuō)明

本文原文發(fā)表于CSDN博客平臺(tái)，請(qǐng)轉(zhuǎn)載者在文章相應(yīng)位置，注明與本文版權(quán)相關(guān)的內(nèi)容！！！
本文鏈接：http://blog.csdn.net/lemon_tree12138/article/details/50727135 – Coding-Naga?
　　　　　　　　　　　　　　　　　　 　　　　　　　　　　　　　　　　 — 轉(zhuǎn)載請(qǐng)注明出處

實(shí)驗(yàn)環(huán)境：

Windows相關(guān)

• Windows?7
• WireShark

Linux相關(guān)

• Ubuntu?14.04?LTS桌面版
• Python?2.7.6
• TCPDump
• JSunpack-n

實(shí)驗(yàn)參考：

《惡意軟件分析訣竅與工具箱》?12.2.1?從捕獲的數(shù)據(jù)包中隔離加密數(shù)據(jù)

?

實(shí)驗(yàn)步驟：

一、使用WireShark捕獲文件傳輸步驟

? 1.?選擇一款郵箱（這里采用163），用于郵件發(fā)送；

? 2.?編寫(xiě)一份用于發(fā)送的文件，這里的編寫(xiě)的發(fā)送文件為《Upload?Test》，內(nèi)容為：
? ? ?Just?a?test?for?upload.

? 3.?打開(kāi)安裝完成的WireShark，并設(shè)置過(guò)濾參數(shù)為http。如下：

? ? ?

? 4.?當(dāng)上傳并發(fā)送上述文件內(nèi)容后，可獲得如下的流量捕獲結(jié)果：

? ? ?

? 5.?選擇，上面被框中的內(nèi)容，可以看到HTTP協(xié)議中有如下內(nèi)容：

? ? ?

? 6.?從上面的截圖中可以獲得了文件的名稱(chēng)：Upload?Test.txt和文件的長(zhǎng)度23個(gè)字節(jié)；

? 7.?再檢查Media?Type內(nèi)容，從這里可以看到已經(jīng)捕獲到了文件內(nèi)容：

? ? ?

二、使用TCPDump捕獲文件傳輸步驟

? 1.?按照前面文檔中所介紹的方法正確安裝JSunpack-n

? 2.?新建一個(gè)測(cè)試文件，用于文件上傳使用。文件名稱(chēng)及內(nèi)容如下：

? ? ?

? 3.?打開(kāi)TCPDump，并進(jìn)行網(wǎng)絡(luò)流量監(jiān)聽(tīng)。命令如下：
? ? ?$?sudo?tcpdump?-i?eth0?-w?163.pcap

? 4.?從Ubuntu的桌面瀏覽器進(jìn)入163郵箱，并添加以上測(cè)試文件到附件。然后發(fā)送郵件

? 5.?待郵件發(fā)送成功后，斷開(kāi)TCPDump的監(jiān)聽(tīng)工作。使用JSunpack-n進(jìn)行分析抓包內(nèi)容。命令如下：
? ? ?$?python?jsunpackn.py?xxx/163.pcap?-s?-J?-v

? 6.?以下為分析結(jié)果的部分截圖：

? ? ?

? 7.?查看JSunpack-n分析的結(jié)果文件，進(jìn)入./temp/files。使用以下命令分析：
? ? ?$?file?*

? 8.?上面的分析結(jié)果如下所示：
? ? ?
? ? ?可以看到這些被截獲的文件原本的格式類(lèi)型。

? 9.?使用WinSCP將這些文件下載到本地。并以相應(yīng)格式進(jìn)行重命名，如下：

? ? ?

?10.?從上面的這些文件中，并未找到有關(guān)于測(cè)試文件內(nèi)容的字節(jié)。只是在文件stream_15a5b6dcb804326549627e8a0c3f528dc04a3587中發(fā)現(xiàn)了測(cè)試文件的文件名稱(chēng)。stream_15a5b6dcb804326549627e8a0c3f528dc04a3587文件的內(nèi)容如下：
? ? {'code':'S_OK','type':0,'var':{'attachmentId':1,'fileName':'test_upload.txt','contentType':'text\/plain','size':30,'actualSize':30}}

?11.?為了實(shí)驗(yàn)的可信度，這里將JSunpack-n解析的網(wǎng)絡(luò)包文件163.pcap文件下載到本地，并使用WireShark進(jìn)行解析。解析結(jié)果如下：

? ? ?

實(shí)驗(yàn)結(jié)論：

? 從上面的實(shí)驗(yàn)中，主要可獲得以下兩個(gè)結(jié)果：

? ?1.使用JSunpack-n不能解析TCPDump抓取的數(shù)據(jù)包文件中，上傳文件的內(nèi)容信息；

? ?2.使用WireShark可以解析出TCPDump抓取的同一份數(shù)據(jù)包文件中，上傳文件的內(nèi)容信息；

? 從這一點(diǎn)，可以初步得到，使用JSunpack-n無(wú)法截獲通過(guò)網(wǎng)絡(luò)上傳文件的結(jié)論。

總結(jié)

以上是生活随笔為你收集整理的JSunpack-n模拟WireShark拦截文件传输的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。