1. дома
  2. Вопрос и ответ
  3. Поиск строки unicode (UTF-16) в файле PCap, захваченном WireShark

Поиск строки unicode (UTF-16) в файле PCap, захваченном WireShark

2016-09-16 2 views
1

Я пытаюсь найти строку в файле Pcap, захваченном инструментом Wireshark. Вся строка с/на sql-сервер отформатирована как Unicode String (UTF-16).Поиск строки unicode (UTF-16) в файле PCap, захваченном WireShark

Когда кадр содержит строку Unicode, например «select», она отображается как «s e l e c t», пробел между символами - это нулевой символ \ x00.

В случае использования следующего фильтра отображения:

frame contains "s e l e c t"

кадров не фильтруют.

так, я должен преобразовать строку «выбрать» в шестнадцатиричном десятичной вручную и запустить фильтр отображения:

frame contains 73:00:65:00:6c:00:65:00:63:00:74:00

, и это работает.

Кроме того, я попытался использовать инструмент поиска (на панели инструментов) и выбрал Wide (UTF-16) и ввел «s e l e c t», но не смог найти строку.

Я использую Wireshark v 2.2.0 sample of data

  • Есть простой способ для фильтрации строки Unicode прямых вместо преобразования строки в шестнадцатеричную строку.
  • Что я должен ввести в инструмент поиска при выборе текстового поля Wide (UTF-16) для поиска строки ASCII, например. «Выбрать», но в виде строки Unicode

источник

2016-09-16 M.Hassan

ответ

1

Q.Is Есть простой способ для фильтрации строки Unicode прямых вместо преобразования строки в шестнадцатеричную строку

«спичка» оператор, позволяет фильтр применяются к регулярному выражению, совместимому с Perl (PCRE).

Для слова «выбрать», дисплей фильтр будет:

frame matches "s.e.l.e.c.t"

Точка здесь любой символ, в нашем случае это \ x00 персонажу

для регистронезависимого как Select, ВЫБРАТЬ :

frame matches "(?i)s.e.l.e.c.t"

(? I) выполняет совпадение шаблона без учета регистра.

В. Что я должен ввести в инструмент поиска при выборе текстового поля Wide (UTF-16) для поиска строки ASCII, например. «Выбрать», но в виде строки Unicode

Нажмите «найти инструмент» из панели инструментов в выпадающем списке выберите:

Выберите «Пакет байтов» => выбрать «Узкий & Wide» => pick "String"

Введите слово для поиска, например «выберите» в текстовом поле.

Если слово существует, вы найдете данные кадра в поле «Упакованные байты»

источник

2016-09-21 20:16:12

Смежные вопросы

 Смежные вопросы