WinHex 提取 Wireshark 抓包图片

1、Wireshark

1.1 使用Wireshark过滤http,查找到两个GET请求的png图片

1.2 对其中一个右键单击,追踪流–>HTTP流

图中已经看到PNG字样

需要注意的是,其中包含两张图片,下图的示例指第二张图

1.3 如下图所示,修改 显示和保存数据为原始数据,然后点击另存为,文件名自定

2、使用WinHex打开该文件后

2.1 左上方,搜索–>查找十六进制数值

2.2 png图片文件头十六进制为89504E47,然后勾选列出所有结果

2.3 首先点击第一个结果

2.4 在跳转到的89位置右键,点击 选块起始位置
或者点击该位置后按下 Alt+1


2.5 然后点击第二个搜索结果

2.6 此时跳转至第二个png起始位置

2.7 此时需要向上滚动,在右侧框找到GET字样
点击GET字样左侧的字符,左侧十六进制会有同步提示
此处的GET字样刚好就是第二张图片GET请求的开头,那么在它之前就是上一个请求的结尾

2.8 此时右键点击该位置,点击选块尾部
或者点击该位置后按下 Alt+2

2.9 此时右键蓝色选中区域,点击编辑

2.10 点击复制选块–>至新文件

2.11 文件名自定义,文件拓展名修正为png保存即可

2.12 同样的方法,再次点击第二个搜索结果

2.13 同样在左侧十六进制区域89右键点击,选择选块起始位置
或者点击该位置后按下 Alt+1

2.14 最后滚动至页面底部,右键点击 选块尾部
或者点击该位置后按下 Alt+2

2.15 右键蓝色选中区域,点击编辑

2.16 点击复制选快–>至新文件

2.17 文件名自定义,文件拓展名修正为png保存即可

3、缩略图如下

4、文件头参考
【CTF杂项】常见文件文件头文件尾格式总结及各类文件头