J'essaie de lire un fichier ERF et de lire tous ses Packets en utilisant le schéma de format this.Lecture d'un fichier ERF (Wireshark)
Ceci est mon fichier:
I marqué où le début de paquet (ce fichier contient seulement 1 paquet) et le Length.
J'ai essayé de comprendre le format sans succès, donc ma question est: comment puis-je trouver le paquet Timestamp?
Selon la spécification de format, l'horodatage est dans les 8 premiers octets, petit-boutiste ordonné.
Donc, dans votre exemple, l'horodatage a une faible partie de quatre premiers octets: 0x92, 0x8F, 0xDD, 0xB1, vous donnant 0xB1DD8F92, et une grande partie de 0x4E, 0x74, 0xF5, 0x4F vous donnant 0x4FF5744E. Selon la spécification, vous pouvez maintenant prendre la partie haute et mettre dans votre convertisseur de temps unix préféré comme décimal (1341486158) et vous obtiendrez l'horodatage avec une précision de secondes.
Ceci est TCP Packet, je sais où le paquet commence et fin (marqué), mais l'horodatage devrait être avant ce point de départ et je veux savoir comment le lire –
Je crois que les horodatages sont facultatifs pour TCP. Vous devez donc regarder dans la zone d'option de l'en-tête tcp. – iheanyi
Vous devriez poster votre tentative de le faire afin que nous ayons un point de départ pour vous aider. –