Esiste un esempio in termini di analisi forensi in cui Wireshark potrebbe essere l'unico metodo per estrarre i dati nel tuo file .pcap?
NetworkMiner is a great tool for automatic extraction of files from a packet capture. It's also surprisingly useful and good at extracting messages such as emails. What it isn't any good for is manual packet analysis, which is where Wireshark shines.
Vedi qui.
All'interno di quel link, è un breve post di reddit con qualcuno che ha fatto una domanda simile. Sento che questa è stata la migliore risposta per te e ho alcune conoscenze personali da includere.
Wireshark è un ottimo strumento per analizzare i pacchetti tra la rete e una rete specificata che stai monitorando. È particolarmente potente se sai come identificare protocolli di rete come TCP, DNS, SFTP ecc. Il sistema di filtraggio è anche < strong> molto utile e come indicato nella citazione precedente, NetworkMiner è particolarmente adatto per l'estrazione dei messaggi e ritengo inoltre che sia utile per il monitoraggio della rete MITM.
Sì, ci sono situazioni in cui è necessario ricorrere all'utilizzo di Wireshark, un esempio è quando si analizzano protocolli che non sono supportati da NetworkMiner.
Un uso comune di NetworkMiner è l'estrazione di file che sono stati trasferiti su una rete. I seguenti protocolli di trasferimento file sono attualmente implementati in NetworkMiner: FTP, TFTP, HTTP, SMB, SMB2 e SMTP (vedere sito ufficiale NetworkMiner ). I file trasferiti su altri protocolli non verranno quindi estratti automaticamente da NetworkMiner.