从SMB网络数据包恢复完整文件路径

Question

我正在使用WireShark捕获网络信息以用于一个小型网络分析项目。我想要做的事情之一是查看共享驱动器上访问了哪些文件（即使用SMB协议）。

是否可以仅从捕获的数据包中恢复完整路径名（例如\ server \ path \ to \ file.txt）？根据this资源，第四个数据包应包含UNC路径名称，但我在捕获的会话中找不到它。

如果无法单独从数据包恢复完整路径，是否有其他方式使用数据包中的hte信息？例如，我知道数据包包含源IP生成的源IP和文件ID。这些有用吗？

谢谢

Answer 1

你把它挖到错误的地方。

您应该在Samba服务器中收集并记录该信息。

如果你是用sniffering软件分析的话，那么你必须重新构建SMB会话。

P.S.更具体地说，您需要将以前的所有请求恢复到子目录树。如果您需要将\ server \ path \恢复到\ asdf1 \ file.txt，那么您必须首先找到目录“to”的请求，并且也要查找目录“asdf1”。目录本身就是一个文件，其文件名为D。