我正在使用WireShark来捕获一个小网络分析项目的网络信息 . 我想做的其中一件事是查看共享驱动器上访问了哪些文件(即使用SMB协议) .
是否可以仅从捕获的数据包中恢复完整路径名(例如\ server \ path \ to \ file.txt)?基于this资源,第四个数据包应包含UNC路径名,但我在捕获的会话中找不到它 .
如果单独从数据包中恢复完整路径是不可能的,那么在数据包中使用hte信息还有其他方法吗?例如,我知道数据包包含源IP和源生成的文件ID . 这些有用吗?
谢谢
你在错误的地方挖掘它 .
您应该在Samba服务器中收集并记录该信息 .
如果您要使用嗅探软件进行分析,那么您必须重建SMB会话 .
附:更具体地说,您需要恢复以前对子目录树的所有请求 . 如果需要将\ server \ path \恢复到\ asdf1 \ file.txt,则必须首先查找目录"to"的请求,也要查找目录"asdf1" . 目录是一个文件本身,其属性为 D .
1 回答
你在错误的地方挖掘它 .
您应该在Samba服务器中收集并记录该信息 .
如果您要使用嗅探软件进行分析,那么您必须重建SMB会话 .
附:更具体地说,您需要恢复以前对子目录树的所有请求 . 如果需要将\ server \ path \恢复到\ asdf1 \ file.txt,则必须首先查找目录"to"的请求,也要查找目录"asdf1" . 目录是一个文件本身,其属性为 D .