linux user group brescia

Andrea Gelmini ha scritto:
> Il 07 giugno 2010 02.07, Rampage <atomikramp a email.it> ha scritto:
>   
>> pensate che sia una cosa che si può fare?
>> o esiste un sistema più smart?
>>     
>
> Non avendo ulteriori informazioni note a monte, tocca ovviamente
> pigliare tutto, con un qualsiasi strumento che va da tcpdump in su.
> Dopodiché ti smazzi il tutto.
> Ma è chiaro che deve essere gia' noto cosa vuoi cercare, e soprattutto
> in che contesto, diversamente difficile immaginare un lavoro di fino,
> diversamente.
>
> Nella teoria dei segnali potresti trovare delle buone indicazioni e/o algoritmi.
>
> Ciao,
> gelma
>
>   
Ciao Andrea,
confesso che non ci speravo più,
ti spiego il mio problema più nel dettaglio:
io ho questo pcap, so già cosa sto cercando, so che devo estrarre un 
file che è un eseguibile di windows, non so ancora se una dll o un EXE, 
ma l'header è quello di un eseguibile windows ( MZ ).

io so i due peer, ricevente (A) e mittente (B)
e so la porta a cui A si è connesso a B per ricevere il file.

so anche che il trasferimento è avvenuto tramite netcat.
mi chiedevo se ci fosse un modo con wireshark di fare un TCP Reassembly 
di quel trasferimento per estrarre l'eseguibile.

purtroppo non posso affidarmi al
"follow tcp stream"
perchè ovviamente all'interno di questo ci sono anche tutti gli header 
dei pacchetti che andrebbero poi tirati via, cosa non facile considerato 
che il file in transito è binario.

ho visto che tutti i pacchetti che mi interessano hanno una porzione 
"data" dove transita l'eseguibile, lo sbattimento è riassemblarla
potrei farlo a mano
estraendo pacchetto per pacchetto i dati in singoli chunk
e poi con cat da terminale riconcatenarli.

ma sono 1600 pacchetti... speravo ci fosse una macro che mi permettesse 
di farlo.

Grazie

Francesco.