Как в wireshark перейти по смещению.

0

1

Добрый день, вот в hiew можно переходить при анализе бинарей по относительному и по абсолютному адресу, а как при анализе pcap бывает полезно сразу перейти например по абсолютному смещению или по относительному (например 24 байта с начала пакета). Как-нибудь это можно реализовать, возможно каким-нибудь плагином?

←	Внезапные сегфолты

ncurses. Текущее положение курсора.

→

Если брать pcap, то фильтр пишется просто part[offset:len]
ip[9:1] - протокол
ip[20:2] - порт назначения если протокол udp или tcp или udp[0:2]
ether[12:2] = 0x0800 - выбрать IPv4 over ethernet

vel ★★★★★
(18.03.26 15:42:12 MSK)

На правах идеи: в Python есть библиотеки pcap, я пользовался pcap-ng для Python. Понимаю что оффтоплю, но для анализа пакетов показалось удобно долбить большие дампы в автоматическом режиме, в том числе выводить данные по смещениям

I-Love-Microsoft ★★★★★
(24.03.26 00:50:32 MSK)

←	Внезапные сегфолты

Development

ncurses. Текущее положение курсора.

→

Похожие темы