【1】pcap包修复工具：http://f00l.de/hacking/pcapfix.php
【2】pscpng转为pcap：http://pcapng.com/
【3】可以先尝试下"strings 文件名|grep flag"有简单的题直接就出来了
【4】pcap包可以尝试用NetworkMiner提取文件
【5】文件→导出对象→HTTP
【6】键盘流量：在MAC/Linux下可以用tshark命令将lefterCaptureData单独提取出来： tshark -r usbxx.pcapng -T fields -e usb.capdata >usbdata.txt
【7】http模式过滤：
[http.request.method == "GET"]
[http.request.method == "POST"]
[http contains "flag"]
[http contains "HTTP/1."]
【8】过滤端口：tcp.port == 445
【9】筛选长度为20的整个流量包：frame.len == 20
【10】筛选长度为20的ip流量包：ip.len == 20
【11】wrieshark提取mac地址？统计→端点→在EndPoint类型里勾上IEEE 802.11 →复制→作为csv
【12】找ping包的话在显示过滤器里输入icmp
【13】找qq包的话在显示过滤器里输入oicq
【14】追踪流发现可疑的流 怀疑里面有文件啥的 选保留原始数据然后用foremost提取
【15】过滤MAC：eth.dst == xx.xx.xx.xx 过滤目标MAC
【16】英文版：Statistics -> Protocol Hierarchy/中文版：统计 -> 协议分级
【17】 kali系统下：aircrack-ng工具进行wifi密码破解
第一步：用aircrack-ng检查cap包：aircrack-ng xxx.cap
bssid：MAC地址 ESSID：wifi名字
第二步：用aircrack-ng跑字典进行握手包破解：aircrack-ng xxx.cap -w pass.txt
【18】鼠标流量：鼠标流量的提取方式和键盘的提取方式相同
鼠标数据包的数据长度为4个字节
第一个字节代表按键，当取0x00，代表没有按键；为0x01时，代表按左键；为0x02时，代表当前按键为右键。
第二个字节代表左右偏移，当值为正时，代表右移多少像素，当值为负时，代表左移多少像素。
同理，第三个字节代表上下偏移。
用gnuplot工具把坐标画出来
命令：1、[gnuplot] 2、[plot"xy.txt"]
脚本：鼠标流量 键盘流量
【19】
#Https流量包文件分析：
一般会给key
导入key Https == Http + TLS
英文版：Preference-->Protocols-->SSL-->edit RSA keys list
中文版：编辑-->首选项-->Protocols-->SSL-->Edit RSA keys list
【20】tcp contains"flag"