打开WireShark的安装目录,然后按照类型对文件进行排序,就可以看到除了Wireshark.exe之外还有如图所示的一些命令行工具。
Tshark.exe是WireShark的一个组件,可以用来捕获数据包,也可以用来查看之前保存的数据包捕获文件。Tshark.exe也提供了对数据包的解析和保存功能。虽然没有图形化的工作界面,但是Tshark.exe的功能却十分强大。
Dumpcap也是WireShark中自带的一个命令行工具,这种工具的优势就在于对资源的消耗较小。你可以使用dumpcap.exe -h来查看它的帮助文件。
在之前的例子中,我们曾经提到过使用WireShark在捕获数据包时得到的文件可能会很大,Editcap就可以将这种大文件分割成较小的文件。另外Editcap也可以通过开始时间和停止时间来获取捕获数据包文件的子集,删除捕获数据包文件中重复数据等
相比起其它工具,Mergecap的功能比较单一,它主要就是实现了将多个文件合并成一个文件,最基本的语法为
mergecap –w
USB技术的应用越来越广泛,我们常用的U盘,鼠标,键盘都是USB设备。我们有时也会遇见要对这种设备进行调试的情形,但是很少有人知道其实WireShark也是可以胜任这一任务的。WireShark可以像处理网络中的通信一样来捕获和解析USB设备的通信。
若有收获,就点个赞吧
0 人点赞
