在由Wireshark捕获的PCap文件中搜索unicode字符串(UTF-16)
问题描述:
我尝试搜索由Wireshark工具捕获的Pcap文件中的字符串。从/到sql服务器的所有字符串被格式化为Unicode字符串(UTF-16)。在由Wireshark捕获的PCap文件中搜索unicode字符串(UTF-16)
当框架包含像“select”这样的Unicode字符串时,它显示为“s e l e c t”,字符之间的空格为空字符\ x00。
在使用下面的显示过滤器的情况下:
frame contains "s e l e c t"
帧不进行过滤。
所以,我必须将字符串手动转换“中选择”为十六进制小数,并运行该显示器滤光片:
frame contains 73:00:65:00:6c:00:65:00:63:00:74:00
,它的工作。另外,我尝试使用查找工具(在工具栏中)并选择Wide(UTF-16)并输入“s e l e c t”,但找不到该字符串。
我使用Wireshark 2.2.0 v sample of data
- 有没有一种简单的方法来过滤Unicode字符串指导,而不是将字符串转换为十六进制的字符串。
- 当我选择文本框Wide(UTF-16)来搜索ASCII字符串时,我应该在查找工具中输入什么。 “选择”,但作为一个Unicode字符串
答
Q.Is有一个简单的方法为Unicode字符串过滤指导,而不是将字符串转换为十六进制字符串
的“匹配”操作,允许过滤器适用于Perl兼容的正则表达式(PCRE)。
单词“选择”,该显示器滤光片将是:
frame matches "s.e.l.e.c.t"
在这里代表任意字符,点对我们来说这是\ x00的字符
不区分大小写样选择,选择:
frame matches "(?i)s.e.l.e.c.t"
(?i)执行不区分大小写的模式匹配。
Q.当选择文本框Wide(UTF-16)来搜索ASCII字符串时,我应该在查找工具中输入什么,例如“选择”,但作为一个Unicode字符串
点击从工具栏上的“查找工具”,在下拉列表中选择以下:
选择“包字节” =>选择“窄&宽” =>选择“字符串”
输入单词以搜索eg在文本框中选择“选择”。
如果存在该单词,则在“包字节”区域中找到帧数据区域