解码编码:数据包分析工具

Question

我正在寻找比Wireshark更好的工具。Wireshark的问题在于，它没有清晰地格式化数据层(这是我要查看的唯一部分)，以便我比较不同的数据包，并试图理解第三方编码(它是封闭的源)。

具体来说，什么是查看数据的好工具，而不是TCP/UDP报头信息？特别是，一个将数据格式化为比较的工具。

是非常具体的：我想要一个程序来比较多个(而不仅仅是2个)十六进制文件。

Answer 1

坦白说，你最好的选择就是自己动手。

获得一种您熟悉的脚本语言，并开始着手解决这个问题。首先写一个简单的多路比较，但是一旦你开始找到你认为有意义的(或者你认为可能是的)模式，回去把它们添加到代码中--从输出中删除它们，突出显示它们，把它们转换成另一个符号，用它们的“意义”或者对它们的角色的某种高级描述--任何看起来合适的--取代它们。如果你不能决定，那就做个选择吧。

你之所以要求可视化软件，是因为你想要一些东西来帮助你形成并内化对它们编码的理解。但是你将要做的比较只是你将要使用的过程的一部分(这基本上是一种科学方法)--你也将形成和修正关于数据包的各个部分意味着什么，它们是如何交互的猜测，等等。

没有预先构建的工具可以帮助您，但是一个好的脚本语言(比如python、ruby，甚至perl)会有很大帮助。当你形成一个理论的时候，把它编码，然后尝试它。在你的代码中穿插你的代码，尝试不同的想法，在你思考这个问题的时候，建立一个专门针对这个问题的技巧包。

-- MarkusQ

不要落入试图使用C或Java之类的陷阱。你会玩得又快又松，并且应该有一个不需要变量声明、编译等的工具。一旦你理解了它的工作原理，就有足够的机会来收紧它并重写它。

Answer 2

您的问题不是分析网络数据，而是根据需要比较二进制文件。

我将通过任何嗅探器提取应用程序数据，即使用Zoreadche或Wireshark所描述的tcpdump (即通过跟踪TCP会话)。然后将其保存到文件中，并通过任何文件比较工具进行比较。您可以尝试这些(最流行的)：

• Examdiff Pro。比较目录的速度非常快。
• 温格。虽然速度不如考官专业，但它是开源的，而且它正在迅速发展。这是我的第一选择。
• 碧昂德赛。这是我所知道的唯一的文件比较工具，它做的正是你想要的，也就是同时比较try文件。

Answer 3

仅对于HTTP，我曾经使用过一个名为艾菲的很好的工具。

(尽管现在看来，他们支持的不仅仅是HTTP.)