我使用下面的代码将具有给定列的pcap file转换为text file。输出文本文件。代码不会给出任何错误,它会给出输出,但是没有任何数据,它会给出空的输出。你能帮我找出错误吗
from scapy.all import *
data = "Emotet-infection-with-Gootkit.pcap"
a = rdpcap(data)
os.system("tshark -T fields -e _ws.col.Info -e http -e frame.time -e "
"data.data -w Emotet-infection-with-Gootkit.pcap > Emotet-infection-with-Gootkit.txt -c 1000")
os.system("tshark -r Emotet-infection-with-Gootkit.pcap -Y http -w Emotet-infection-with-Gootkit.pcap")
sessions = a.sessions()
i = 1
for session in sessions:
http_payload = ""发布于 2022-02-24 09:03:53
-F k12text -r a.pcap -w a.txt.
"K12文本格式“是一种文本包捕获格式;它是一些Tektronix设备可以写出的格式--在这个意义上,它类似于写出原始十六进制数据,加上一些元数据。然而,从用户界面的意义上看,它更像是“另存为.”因为它是一种捕获文件格式。我想这对你是有用的
发布于 2022-02-27 18:23:44
您正在运行的两个t鲨命令是:
tshark -T fields -e _ws.col.Info -e http -e frame.time -e data.data -w Emotet-infection-with-Gootkit.pcap > Emotet-infection-with-Gootkit.txt -c 1000该命令将从默认接口执行实时捕获,将捕获的1000个数据包写入名为Emotet-infection-with-Gootkit.pcap的捕获文件(可能是pcapng,而不是pcapng,因为pcapng多年来一直是Wireshark的默认捕获格式),并将Info列、HTTP数据包的单词"http“、非HTTP数据包的任何内容、时间戳以及任何其他未将数据作为文本解析到Emotet-infection-with-Gootkit.txt的内容写入。
tshark -r Emotet-infection-with-Gootkit.pcap -Y http -w Emotet-infection-with-Gootkit.pcap它将读取Emotet-infection-with-Gootkit.pcap捕获文件并将其中的HTTP数据包写入到同一个文件中。不建议这样做,因为如果您正在读取文件并在给定的TShark命令中写入同一个文件,那么您将在读取文件时写入该文件。这可能起作用,也可能行不通。
如果要将HTTP数据包提取到文件中,我建议将其写入另一个文件,例如:
tshark -r Emotet-infection-with-Gootkit.pcap -Y http -w Emotet-infection-with-Gootkit-http-packets.pcap因此,第一个命令执行实时捕获,将数据包写入pcapng文件,并将相关字段写入文本文件,第二个命令覆盖在第一个命令中写入的捕获文件。
第一个命令应该生成文本--您是说Emotet-infection-with-Gootkit.txt文件是空的吗?
https://stackoverflow.com/questions/57324485
复制相似问题