linux user group brescia

Ciao a tuttir agazzi, avrei una domanda da porvi,
tutti quanti sappiamo quanto è figo wireshark per analizzare il traffico 
di rete
Se io devo ricostruire del traffico di rete, per esempio http, FTP, o 
comunque di protocolli noti e in chiaro, wireshark mi permette di 
estrarre con facilità tutta la porzione di dato e quindi di ricostruire 
anche pagine web, file zip, filmati, immagini, eseguibili e quant'altro.

MA c'è un problema:
Il problema sorge quando il protocollo non è noto, o il traffico è raw.
nel mio caso specifico devo ricostruire un dato, analizzandone alcune 
porzioni si direbbe un eseguibile windows, che è transitato tramite una 
sessione netcat.
Esiste un modo per scriptare/filtrare/automatizzare un'attività di 
estrazione della porzione "data" di ogni pacchetto di uno stream?

per esempio, se il traffico è di tipo netcat, mi viene in mente di
- isolare lo stream
- rimuovere i messaggi inviati dal ricevente verso il mittente
- eliminare i messaggi di lunghezza nulla
- a questo punto estrarre e ricomporre i vari pezzetti di dato estratti 
dai pacchetti rimanenti.

pensate che sia una cosa che si può fare?
o esiste un sistema più smart?

io ho già provato con dei carver come tcpxtract, Xplico, network miner 
et similia, ma non c'è stato verso proprio perchè di fatto non c'è un 
protocollo, ma solo dei dati grezzi che viaggiano tra due peer.

Spero qualcuno mi possa dare una mano.

a presto
Francesco