Estou analisando uma captura de tráfego criptografado com o wireshark. Eu descriptografei o tráfego com a senha adequada em wireshark e posso ver os dados descriptografados de cada quadro.
O ponto é que, se eu pesquisar um pacote com uma certa string, não consigo encontrá-lo. Mesmo que eu tenha certeza, a string é decriptada, dado que eu posso ver esses dados nos dados descriptografados de um quadro.
Eu já tentei pesquisar em bytes de pacote / lista / detalhes com opção de string e também procurei por hexvalue sem sucesso.
Uma solução que veio em minha mente, consiste em usar tshark para descriptografar o tráfego e fazer um hexdump para um arquivo de texto. Depois disso, use grep para encontrar a string. No entanto, esta não é uma boa abordagem.
Como você encontraria uma string com wireshark em uma captura de tráfego descriptografada?
O recurso find só funciona em campos dissecados, e os dados descriptografados, se não forem entregues a um dissecador para interpretação, não terão campos dissecados. Assim, você pode escrever um dissector para os dados descriptografados ou você deve pelo menos ser capaz de usar um filtro de exibição como data contains "some string" para encontrar os pacotes contendo sua cadeia de interesse.