我有一个数据包捕获,我试图找出下载的程序是用哪个程序制作的,我应该在数据包的哪里找到这些信息?
谢谢大家!
问问题
225 次
2 回答
0
您可能希望查看下载是通过哪个端口完成的,而不是在数据包中寻找答案。这可以为您提供更多信息,而且速度更快
于 2013-06-03T00:03:42.793 回答
0
我假设您知道下载文件的目标 IP 地址。如果它是您可以在它发生时捕获的东西,或者您可以触发它,那么您可以netstat在根据目标 IP 地址过滤 netstat 输出后确定处理该套接字的程序的 PID。然后,您可以ps在 Linux 或 Windows 上的 TaskManager 上使用来了解哪个程序具有该 PID。在 Windows 上:如何确定 Windows 中哪个程序使用或阻止了特定的传输控制协议端口
或者,如果数据包捕获它就是你得到的全部并且它不是重复事件,那么如果下载是通过 HTTP 完成的,你可以检查 HTTP 请求的标头以获取标头中有关客户端的信息User-Agent。
希望能帮助到你。
于 2015-10-21T13:14:24.930 回答