Przedmiotem zadania były pliki PE oraz pcapng:
t8.exe traffic.pcapng 3. Analiza pliku pcapng W pierwszej kolejności wylistowałem wykorzystywane protokoły:
> tshark -r .\traffic.pcapng -T fields -e frame.protocols | sort | uniq eth:ethertype:ip:tcp eth:ethertype:ip:tcp:http:data Następnie wylistowałem komunikację z wykorzystaniem protokołu HTTP:
> tshark -r .\traffic.pcapng -Y "http" 5 0.000725 192.168.10.15 → 13.13.37.33 HTTP 78 POST / HTTP/1.1 9 0.
