有偿请高手解读wireshark信息包

wf_luo

用wireshark抓取了监控电脑上通信的若干数据包，有TCP和SSH协议，里面是一堆十六进制的ASCII代码，应该是暗码来的，不能直接转换字符读取信息内容。现有wireshark的抓包文件和监控电脑上与它相对应的事件记录，wireshark里面每一个有用的信息包里面对应着一个事件记录。想请高手将有用的信息包里面的每个ASCII代码与事件记录里的字符对应起来，既系找出解读ASCII代码的方法或者说破解它们的通信协议。因为我想用同样的方法来解读监控电脑上其它端口的信息包。
    价格可以谈，有意者请联系QQ526488968，非诚勿扰!

天空之城

做为一款开源软件，可以使用lua脚本编写wireshark解析插件。这需要有该监控软件所有事件记录所对应的编码介绍。另外如果你所监控的电脑通信的内容是视频、语音或是文件传输类的，内容要是加密了，没有解密机制，是无法还原的。要是记录的操作信息，如删除、添加、复制或是记录状态等等，还是可以的。需要你对lua脚本有一定的了解。

wf_luo

谢谢天空之城，给了我一点思路！

wf_luo

监控上通信的内容不是视频语音或文件传输，只是事件的记录信息，如该事件开始时间，结束时间，事件属性之类的内容。但问题是没有

监控软件所有事件记录所对应的编码介绍，在wireshark上抓到的都是暗码，不能直接读。现在有一个事件记录的文档和对应的编码后的数据包（通过wireshark抓的），能不能根据这两者的对应关系找出编码机制啊？非常感谢，期待指点！！

天空之城

监控上通信的内容不是视频语音或文件传输，只是事件的记录信息，如该事件开始时间，结束时间，事件属性之类的内容。但问题是没有监控软件所有事件记录所对应的编码介绍，在wireshark上抓到的都是暗码，不能直接读。现 ...
wf_luo 发表于 2014-6-12 14:43

按照你的回复来看，是可以实现的。主要的问题在于事件记录信息详细字段的起始、终止位，如开始时间从第几个字节开始，第几个字节结束等等，如果这些可以确定下来，是可以进行编写解析插件的。
你可以先将下面的代码先建立个new.lua的文件，然后拷到wireshark的安装根目录下，打开init.lua文件，在最后一行的上面增加一行“dofile(DATA_DIR.."new.lua")”，保存后退出,再打开wireshark载入保存的数据包就能看到新定义的协议了。
new.lua文件内容如下，这里只是简单的做了一下，毕竟不了解你的数据包格式。


--声明一个新的协议
my_proto = Proto ("myProto","My Protocol for Query Employee","My Self-defined Protocol")
--解析器函数
function my_proto.dissector(buffer,pinfo,tree)
    pinfo.cols.protocol:set("myProto")
    pinfo.cols.info:set("This is a message of myProto")
end
--这里定义为UDP端口，如果是TCP，请修改，my_port为协议端口号，请按照实际进行修改。。
Local udp_port_table = DissectorTable.get("udp.port")
Local my_port = 12345
Udp_port_table:add(my_port, my_proto)