这是命令 pcapfix,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
pcapfix - 修复 pcap 和 pcapng 文件
概要
电脑补丁 [-d] [-n] [-o 文件名] [-t DATA_LINK_TYPE] [-v] 文件名
商品描述
Pcapfix 是一种修复损坏或损坏的 pcap 和 pcapng 文件的工具。 这个已经写完了
在 C 中并在 GNU 通用公共许可证下发布。
要修复您的 pcap 文件,该工具首先检查完整的 pcap 全局标头并进行修复
如果有一些损坏的字节。 似乎根本没有全局标题,
pcapfix 在文件的开头添加了一个自创建的。 第二步,工具
尝试在文件内的全局标头下方找到 pcap 数据包标头。 它检查是否
值是正确的(或似乎是正确的)并尝试修复数据包(如果有)
有事吗。
要修复您的 pcapng 文件,该工具会遍历所有可以在以下位置找到的数据包标头
文件。 它检查强制性的节头和接口描述块和
如果丢失,则创建它们。 Pcapfix 检查正确的块大小和有效的选项字段。
如果出现问题,则修复无效字段(如果可能)或跳过和调整
最终得到一个合适的 pcapng 文件。
配置
-d,--深度扫描
强制深度扫描(默认 = 0)
此选项将强制 pcapfix 扫描整个文件中的任何数据包(而不是
仅前 65535 个字节)。
-n,--pcappng
强制文件格式为 PCAPNG(默认值 = 0)
此选项将强制 pcapfix 修复输入文件,因为它是 pcapng 格式
(对于被破坏的文件头很有用)。
-o, --outfile
设置输出文件名。 默认将以“fixed_”为前缀的输入文件。
-t, --data-link-type
数据链路类型(默认 = 1)
(请参阅下面的注释部分。)
-v,--详细
启用详细输出(默认值 = 0)
您可以使用多个 -v 选项来增加详细程度。
冗长为 2 将导致在包搜索期间输出大量数据。
示例
使用深度扫描模式修复 pcap 文件,因为文件的大块已损坏。
pcapfix -d 文件.pcap
使用详细输出修复文件 damage_file.pcapng。
pcapfix -v 损坏文件.pcapng
修复文件 wlan_traffic.pcap 并强制数据链接类型为 119(PRISM HEADER)。
pcapfix -t 119 wlan_traffic.pcap
修复文件头损坏的损坏.pcapng文件并强制其格式为
啪啪啪
pcapfix -n 损坏.pcapng
附注
情深 浏览
在经典的 pcap 文件中,pcapfix 只会扫描前 65536 字节(最大包
长度)用于正确的第一个数据包。 如果你想强制数据包检测甚至高于
此限制(例如,因为您的文件已被严重破坏)您可以使用深
扫描选项 (-d)。
pcapng 文件不需要此选项,因为整个文件都排列在
默认情况下“无限”的块。 结果 pcapfix 将始终扫描整个
用于进一步块的 pcapng 文件。
PCAPNG 格式
Pcapfix 会在做之前尝试识别要修复的文件格式(pcap / pcapng)
任何进一步的检查。 如果标头本身已损坏,它将假定格式为
成为经典的 pcap。 要更改此行为,您可以强制该工具执行 pcapng-
通过提供 -n (--pcapng) 选项进行修复。
冗长
您可以使用多个 -v 选项来增加详细程度。 将导致详细程度为 2
在包搜索过程中非常多的输出数据中。
ASCII 模式 转移 档 (FTP)
Pcapfix 能够修复通过以下方式以 ascii 模式传输的 pcap 文件
FTP。 在这些文件中,将创建一个适当的 pcap 结构只是为了使它们
可以通过wireshark等读取。数据包内的数据(和一些pcap头)可能
还是会被破坏。 要修复这些数据包,请更深入地了解数据包结构
(例如校验和)将是必要的。
时间 链接 类型
您可以通过提供 -t 选项使 pcapfix 更改/选择您的数据链接类型。
虽然您可以选择 0 到 255 之间的数据链接类型编号,但只有以下
类型被分配:如果数据链接类型字段损坏,pcapfix 将选择
默认为 LINKTYPE_ETHERNET。
参见 http://www.tcpdump.org/linktypes.html 了解更多信息。
NUMBER 个LINK_TYPE
0 LINKTYPE_NULL
1 LINKTYPE_ETHERNET
6 LINKTYPE_TOKEN_RING
7 LINKTYPE_ARCNET_BSD
8 链接类型_SLIP
9 LINKTYPE_PPP
10 LINKTYPE_FDDI
50 链路类型_PPP_HDLC
51 LINKTYPE_PPP_以太
100 LINKTYPE_ATM_RFC1483
第101章
104 链接类型_C_HDLC
105 链接类型_IEEE802_11
第107话
第108话
第113话
第114话
第117话
第119话
第122话
第123话
第127话
第129话
第138话
第139话
第140话
第141话
第142话
第143话
第144话
147-162 LINKTYPE_USER0-LINKTYPE-USER15
第163话
第166话
第169话
第177话
第187话
第189话
第192话
第195话
第196话
第197话
201 链接类型_蓝牙_HCI_H4_WITH_PHDR
第202话
第203话
第204话
第205话
第206话
第209话
第215话
第220话
第224话
第225话
第226话
第227话
第228话
第229话
第230话
第231话
第235话
第236话
第237章
第239话
第240话
第241话
第242话
第243话
第244话
第245话
发展
这个工具还在开发中! 请发送任何进一步的愿望、功能请求或
编译和执行中的问题 [电子邮件保护]. 另外你可以发给我
也无法修复的 pcap/pcapng 文件,以改进 pcapfix 并获得您的
文件已修复。
如需更多信息,请访问 pcapfix 主页,网址为 http://f00l.de/pcapfix/.
留言内容 AND 退出 编码
1、文件损坏已修复
0 ,文件正确; 没有什么可修复的
-1 , 给出的选项/参数无效
-2 , 无法打开输入文件进行读取
-3 , 无法打开输出文件进行写入
-4 , 输入文件为空
-5 , 输入文件太小
-6 , 不支持文件类型
-11 ,不是 pcap/pcapng 文件
-12 , 无法修复文件
-13 , 读取输入文件时的EOF
-255 , 未知错误
历史
1.1.0 - 31.08.2013
* 添加了对有效 pcapng 格式 (epb) 的检查
* 添加--outfile 参数来选择固定文件名
* 改进了 pcapng 数据包对齐(pb、spb、nrb)
* 改进 pcapng 选项字段处理
* 改进状态和详细输出
* 修复了交换 pcap 文件的修复错误
* 修复 MacOS 编译问题
* 修复了 Windows 输出文件扩展名丢失的问题
* 修复了许多小错误
1.0.2 - 18.02.2013
* 在 2 位系统上增加了对大于 32GB 的文件的支持
1.0.1 - 03.11.2013
* 添加了修复块类型 id 零 (pcapng)
* 在 EPB (pcapng) 中添加了捕获长度的修复
* 将数据链接类型设置为缺少标头 (pcap) 的以太网
* 更改缺少 pcap 标头阈值
*修复了一些小错误
1.0.0 - 12.10.2013
* 添加 pcapng 支持
* 添加了纳秒支持(问题 #1)
* 改进控制台输出
*修正了一些小错误
0.7.3 - 16.06.2013
* 添加监听文件检测
* 增加了对 32 位架构的大文件支持
* 改进了丢失标头检测
* 修复了 hurd 和 kfreebsd 架构上的编译错误
*修复了一些小错误
0.7.2 - 30.03.2013
* 现在可以在 Apple 系统上正确编译
* 修复了安装手册页的问题(在某些系统上)
0.7.1 - 03.01.2013
* 真正修复了 windows64 系统上的文件指针异常
* 更新了手册页
0.7 - 18.10.2012
* 添加了对交换(大端)pcap 文件的支持
* 现在可以在 OpenBSD 上正确编译
* 修复了 windows64 系统上的文件指针异常
* 修复损坏数据包大于 65536 字节时的检测错误
* 固定最小数据包限制以应对无线局域网流量
0.6 - 20.05.2012
* 添加了深度扫描选项 (-d) 以强制在整个文件中进行数据包检测
* 检测 pcap 标头中的 ascii 损坏(unix->win)
* 改进了全局报头和数据包检查(0 <= usec <= 1000000)
* 修复第一个数据包完全损坏的文件
* 修复超大数据包
* 改进了最后一个数据包不匹配校正
* 修复了通过 EOF 读取数据包的问题
0.5 - 05.05.2012
* 修复数据包未按时间顺序保存的文件
*检测和修复重叠的数据包
*检测和修复截止的pcap文件
* 检测和修复 ascii 模式传输的 pcap 文件(仅限 pcap 头文件!)
* 添加进度条
* 添加了手册页
0.4 - 27.04.2012
* 完全重新设计的数据包检测算法(用自下而上的恢复代替
蛮力数据包猜测)
* 通过额外的合理性检查提高检测率
* 修复大型 pcap 文件时提高了速度
0.3 - 31.03.2012
* 当恢复数据包大小将被检查为小于 65536
* 当文件似乎根本不是 pcap 文件时添加识别
* 现在可以在 Windows 系统上正确编译(使用 dev-cpp 测试)
* 添加了手动选择数据链接类型的选项
0.2 - 11.03.2012
* pcapfix 现在可以在 64 位系统上正确编译
* 修复了未指定文件名时的段错误
* 固定(输入)文件未找到目录上的错误不同
* 在全局标头中添加了除以太网之外的其他数据链接类型的识别
* 添加源代码文档
0.1 - 01.03.2012
* 这是第一个版本,一切都变了 :-)
版权
版权所有 (c) 2012-2014 罗伯特·克劳斯
Pcapfix 是免费软件:您可以根据以下条款重新分发和/或修改它
由自由软件基金会发布的 GNU 通用公共许可证,版本 3
或任何更高版本的许可证。
Pcapfix 是分发的,希望它有用,但没有任何保证;
甚至没有对适销性或针对特定目的的适用性的暗示保证。
有关更多详细信息,请参阅 GNU 通用公共许可证。
使用 onworks.net 服务在线使用 pcapfix
