在由Wireshark捕获的PCap文件中搜索unicode字符串（UTF-16）

Question

我尝试搜索由Wireshark工具捕获的Pcap文件中的字符串。从/到sql服务器的所有字符串被格式化为Unicode字符串（UTF-16）。

当框架包含像“select”这样的Unicode字符串时，它显示为“s e l e c t”，字符之间的空格为空字符\ x00。

在使用下面的显示过滤器的情况下：

frame contains "s e l e c t" 

帧不进行过滤。

所以，我必须将字符串手动转换“中选择”为十六进制小数，并运行该显示器滤光片：

frame contains 73:00:65:00:6c:00:65:00:63:00:74:00 

，它的工作。另外，我尝试使用查找工具（在工具栏中）并选择Wide（UTF-16）并输入“s e l e c t”，但找不到该字符串。

我使用Wireshark 2.2.0 v sample of data

• 有没有一种简单的方法来过滤Unicode字符串指导，而不是将字符串转换为十六进制的字符串。
• 当我选择文本框Wide（UTF-16）来搜索ASCII字符串时，我应该在查找工具中输入什么。 “选择”，但作为一个Unicode字符串

Answer 1

Q.Is有一个简单的方法为Unicode字符串过滤指导，而不是将字符串转换为十六进制字符串

的“匹配”操作，允许过滤器适用于Perl兼容的正则表达式（PCRE）。

单词“选择”，该显示器滤光片将是：

frame matches "s.e.l.e.c.t" 

在这里代表任意字符，点对我们来说这是\ x00的字符

不区分大小写样选择，选择：

frame matches "(?i)s.e.l.e.c.t" 

（？i）执行不区分大小写的模式匹配。

Q.当选择文本框Wide（UTF-16）来搜索ASCII字符串时，我应该在查找工具中输入什么，例如“选择”，但作为一个Unicode字符串

点击从工具栏上的“查找工具”，在下拉列表中选择以下：

选择“包字节” =>选择“窄&宽” =>选择“字符串”

输入单词以搜索eg在文本框中选择“选择”。

如果存在该单词，则在“包字节”区域中找到帧数据区域