Cyberchef配合Wireshark提取并解析TCP/FTP流量数据包中的文件
前一篇文章中讲述了如何使用cyberchef提取HTTP/TLS数据包中的文件,详见《Cyberchef配合Wireshark提取并解析HTTP/TLS流量数据包中的文件》,链接这里,本文讲述下如何使用cyberchef提取FTP/TCP数据包中的文件。
FTP 是最为常见的文件传输协议,和HTTP协议不同的是FTP协议传输数据的通道是直接基于TCP进行传输的,因此还原FTP协议中的数据,就是直接还原传输层之上的数据,了解此方法有助于了解对于使用Wireshark无法解析的应用层协议传输的文件的数据还原。除了常见的HTTP,SMB,TLS,FTP等协议了,还有很多其他协议可以用来传输文件,在IANA端口数据库中搜索file transfer关键字,见这里,如下图1:
