我有一个pcap文件,我需要在^@^@GET /test/test.jpg"的字符串上匹配如果我尝试执行perl字符串正则表达式,它不会看到^ @^@的非打印字符,并且将不匹配。如果我尝试使用的\x5E十六进制的版本相匹配的^这是一个没有去为好。如何在二进制/ pcap文件上进行正则表达式匹配以匹配不可打印的字符,如^@^@?谢谢Perl二进制/ PCAP正则表达式
感谢您对建议的帖子。但是,在尝试建议发布后,我没有收到我想捕获的数据。如果我可能让你感到困惑,提前抱歉不发布更多细节。我试图捕获下面的文本中的数据,从
开始^@^@ GET /mac/_base_v1/modules/header-search/images/magnify.jpg至^ @^@ GET/mac/_base_v1/images /icons/facebook.png HTTP/1.1^M
然而,使用所建议的捕获返回文本中的所有数据,而不是较大的文本中的子串。希望这个澄清我的obejctive,并再次感谢您的张贴和抱歉带来的不便。
§~ìd<82>TÉ^V±N^KohÆ<9b>Ïò<9e>X¬L^GÏNr6þLÑ4^Gì^U<8d><91>~¡Ö^WçmJG~<9e>ÁCb<98>L^G^W³Doý¦·&aV<86>^Wt^[Gò^^Âwú"Â̹^LÔ5<94>j¦5ýw÷!^K<86>"^V3^FÞBlO=<8b>NLu><8f>/<86>Þö^@è«<8c>^X»<88>ð^?âß~IVl^[Ö^Ym<9d>utà÷Öíá×Î%A'fMr + OC^d%^ R = UO^NO < 81>§^侯< 9A>nV2åÎ^ Q“生物< 8A> IO©v ^至·Y < 96>äÏ¿^ [< 8d>^N“m®< 98> ^B¹^Uk½^SÎÛ0i5^ Xn < 8d> T5 < 95>j'üGâP^Bÿë{〜-Wyu^S < 93>图5A!一个< 8B> THN^[±A < 91> < 9B>ØÅWq^OÐYVBT^KâdðèÅ< 8B> AGH < 83> RAI < 8D> a^^TE < 88> R 0^RB < 82> YA6 < 85>> U^W^®3_'μõ X3^C?VÉÌï}ÌÏ0Ô< 83> Z + < 91>ÔúËëà0ÁeS9ñØk^ý< 88>QÒÚ97< 83>¢升< 88> 3 CN/^ .bm作^ BD^F^g < DI < 9C>^\ ^þ^M¼^] $²?£ªüó?Ý^Mã^ [ôûðä¿^ G^@Èð¶ú8ª^ A^@ $ < 9F> UOE'^ A^@ 6^@^@^@ 6^@^@^@^@!^^ L#àøG.±N^H^@E^ @^@(C @@^@@^FEVA^@ \ @^d^K ^Q5¾^ @表示P < 91> 〜@ ^ZÉÇsÐP^ P〜¿ß¼^ @^@ $ < 9F> UO:(^ A^@¾^ A^@^@¾^ A^@^@^@ ^^ L#AOG±N个^ H^| E^@^A°K @ @@^^ F} AA^@ \ @^d^K ^Q5¾^ @表示P < 91>〜@ ^ZÉÇsÐP^ X < 81>`UE^@^@GET /mac/_base_v1/modules/header-search/images/magnify.jpg HTTP/1.1^M 主机:www.microsoft.com^M 的User-Agent:Mozilla的/ 5.0(Macintosh上;英特尔Mac OS X 10.6; rv:13.0)Gecko/20100101 Firefox/13.0^M Accept:image/png,image/; q = 0.8, /*;q=0.5^M Accept-Language:zh-cn,en; q = 0.5^M 接受编码:gzip,放气^ M 的Referer:http://www.microsoft.com/mac/remote-desktop-client^M DNT:1^M 连接:保持活着^ M ^ M $ < 9F> UOW^R^C^@ C 1-4 d^@^@ C 1-4 d^@^@àøG.±N^@!^^L#^ H^| E^@^DC ^Ä@^@ 7 ^F³×@^d^K^QA^Cache-Control:max-age = 900^M Content-Type:image/jpeg^^^^^^^^^^^^^^^^^^^^ M Last-Modified:Thu,20 May 2010 22:26:01 GMT^M Accept-Ranges:bytes^M ETag:“80e2276d6bf8ca1:0”^ M Server:Microsoft-IIS/7.5^M VTag:438546932400000000^M P3P:CP =“ALL IND DSP COR ADM CONCUR CUR CUSo IVAo IVDo PSA PSD TAI TELo我们的SAMo CNT COM INT NAV ONL PHY PRE PUR UNI“^ M X-Powered-By:ASP。NET^M 日期:2012年6月15日星期五02:34:11 GMT^M Content-Length:632^M ^ M ÿØÿà^^^ PJFIF^@^^^d^^^d^@ d^@^@ÿì^ @^QDucky^@^A^@^D^@^@^@ K^@^@ÿî^ @^NAdobe^@dÀ^ @^@^@ ^AÿÛ^ @ < 84>^@^C^B^B^B^B^B^C^B^B^C^E^C^C^C^E^E^d^C^C^d^E^F^E^E^è^ E^E^F 1 H^F^g^g^g^g^F 1 H 1 H
^H^L^L^L^L^L^L^N^N^N^N^N^P^P^P^P^P^P^P^P^P^P^A^C^D^D^F^F^F^L^H^H^L^R^N^L^N^R^T^P^P^P^P^T^Q^P^P^P^P^P^Q^Q^P^P^P^P^P^P^Q^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^PÿÀ^@^Q^H^@^V^@^Y^C^A^Q^@^B^Q^A^C^Q^AÿÄ^@i^@^@^B^C^A^@^@^@^@^@^@^@^@^@^@^@^@^C^G^E^F^H ^A^A^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^P^@^A^C^C^B^C^D^K^@^@^@^@^@^@^@^@^A^B^C^D^Q^E^F^@!^R^S^GA"b^T1<92>Ò<93>T<94>Ô^U^VV^W^Q^A^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ÿÚ^@^L^C^A^@^B^Q^C^Q^@?^@èrÿ^@<9a>Ø0¤åY^U¶^C^PâDnDÉ
< 88>Ò< 8D> 8^g A*Q&<80>^MÉÐ@Ús^<9e>Ì»[íwî<9f>ËÆSx_&Ï:ñk<80>ÜyN<90>T<96>ë^]×ÖÓ<8a> %(}-¨ö^M^EæF-<82>)<87>^Rí<8a>Þ´)$- <86>Á^D^QB^H(Üh1/ñ¾<93>þ¯^GÜ<8d>^C<8f>'¹KÉúpÍ<86>^Kíµ1´Û&Ã/îÉ<91>n}<89>!Á½P¥²^R¯ : §Rº³<99>JÇbÝoX<84>¨¶ì~uºõuäK<83>2Kßm<96>Ü<94>¢^[lºTSÆ<84><97>^Vàl<86>»¦º^FE<8f>«¶<8c>³^^<8d><91>Xe<89>P'µÍ<8c>ð¨¨Ü^PA¡^D^PA^GpE4 ^_9 <90><8b>"çå#ðÅr<9c>¦èB<9b>Üp^O^V<80><9e>béð®zÍûZ^A"TäÛ<99>T(j\PÊL4GS^\²ÈOp7E<84>R<9e><8d>é Vþ_<9e>~<89>7çí<9f>S ÿÙ$<9f>ÚOj^R^C^@6^@^@^@6^@^@^@^@!^^L# àøG.±N^H^@E^@^@(²[email protected]^@@^F|aÀ¨^@\@^D^K^Q5¾^@P<91>~A¢ÉÇwëP^P^?RÙ<86>^@^@$<9f>ÚO±^R^C^@¯^A^@^@¯^A^@^@^@!^^L# àøG.±N^H^@E^@^A¡<8b>^[email protected]^@@^F¢2À¨^@\@^D^K^Q5¾^@P<91>~A¢ÉÇwëP^X<81>他^ @^@ GET/MAC/_base_v1 /图像/图标/ facebook.png HTTP/1.1^M 主机:www.microsoft.com^M 的User-Agent:Mozilla的/ 5.0(Macintosh上;英特尔的Mac OS X 10.6; RV:13.0)壁虎/ 20100101 Firefox/13.0^M 接受: image/png,image/; q = 0.8, /*;q=0.5^M Accept-Language:zh-cn,en; q = 0.5^M Accept-Encoding:gzip,deflate^M Referer: http://www.microsoft.com/mac/remote-desktop-client^M DNT:1^M 连接:保持活跃^ M ^ M $ < 9F> UO _ $^E^@ < 91>^C^@^@ < 91>^C^@^@ AOG 。±N个^ @!^^ L#^ H^| E^@^C < 83>^@频率@^@ 7^F4^V @^d^K^QA^@ \^@P5¾ÉÇwë< 91> 〜C 1-6 [P^X ^OðCæ^ @^@ HTTP/1.1 200 OK^M 缓存控制:最大年龄= 900^M 内容类型:图像/ PNG^M 上次修改:星期一,24 May 2010 18:00:50 GMT^M Accept-Ranges:bytes^M ETag:“be4f6fb6bfbca1:0”^ M Server:Microsoft-IIS/7.5^M VTag:791763032400000000^M P3P:CP =“ALL IND DSP COR ADM CONCUR CUR CUSo IVAo IVDo PSA PSD TAI TELo我们的SAMo CNT COM INT NAV ONL PHY PRE PUR UNI“^ M X-Powered-by:ASP.NET^M 日期:2012年6月15日星期五02:34:11 GMT + M 内容长度:442^M ^ M < 89> PNG^M ^ Z ^ @^@^@^MIHDR^@^@^@^M^@^@^@^M 1 H^F^@^@^@ REA |^@^@^@^YtEXtSoftware^@ Adobe ImageReadyqee <^@^@^A \IDATxÚ012c R%R R R R R R 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 012 ] tvQ(:) 8 ^HRÑbm< 92> & i < 9a>^O^S_ ^'xué]NÞ=÷Ü^ N /¬PÚÞ] _。®bÚ©< 9eê±êéMÄRÃ< 83> j ^Pù6Ô< 96> n < 83>§^ Y! < 86>² < 8A> < 85>)äÆGäÙõ> Q©ÝÊïг - H & X < 86> N +-æû< 82> 2I^E-YJ < 9C> \ S8I^QUEO < 8E>J¼{| EA ¸N¸P< 8a>Ú^FXòïõR^Rï< 9f>Þ^ Q /%< 99>^\ 1?WÚ< 8a>x6¹ÊþÚ^Rf§'þ< 85>? <¹ÆÑùw|^^ [ªftÀ] E6E 2 O/d |?^ ó39y〜n的^Zh¼ih4uÄsRätÀÆ^VVúNO(K,^ \¢ž»¢< 99>b'Û2À^ CN^HIO $^Z < 96> 83 <> < 98>'” < 91>我< 8D>ü^^ BTH%< 84>我&Ỷ%Þ< 85>r¡< 98>^W“NA *!吨] < 97 >ħ< 9B> ^]ù^ g < 90> ^ \¨aàl2®lüîk< 9A> < 96> 88 <> lSl|¢HÌ^ 0^@^C =¢X> A○^ @^@^@^@IEND®B<82>$<9f>ÚO<96>$^E^@6^@^@^@6^@^@^@^@!^^L# àøG.±N^H^@E^@^@(Ü^G@^@@^FR¯À¨^@\@^D^K^Q5¾^@P<91>~C^[ÉÇ{FP^P^?²ÔR^@^@%<9f>ÚO;>^H^@¬^A^@^@¬^A^@^@^@!^^L# àøG.±N^H^@E^@^A<9e>ò[email protected]^@@^F:îÀ¨^@\@^D^K^Q5¾^@P<91>~C^[ÉÇ{FP^X<81>^B^^^^
您可以使用Net :: Pcap为您解析数据并为您提供有效载荷吗? hexdump工具也将帮助您查看实际内容。 – 2012-07-31 02:51:55
嗨布莱恩福伊,我想Net :: Pcap可以做到这一点。在这一点上不太熟悉如何利用它。我正试图尽可能自动化这个过程。一旦我有兴趣的数据匹配,我将使用十六进制编辑器来查看数据。但是,我想让perl产生感兴趣的数据传递给十六进制编辑器。任何建议在Net :: Pcap将不胜感激。我将开始研究:) – user1508213 2012-07-31 02:58:33