pcap文件分析

1、通过Packet报头和Packet数据组成

2、字段说明：

Timestamp：时间戳高位

Timestamp：时间戳地位

Caplen：当前数据区的长度

Len：离线数据长度

1、使用工具：16进制转换http://tool.oschina.net/hexconvert

2、根据 3c 00 00 00 判断本包长度 60.寻找第60个位置

3、根据 5c 00 00 00判断本包在92个之后

4、根据 31 01 00 00来判断。

根据二进制转换的二进制来看，它把 31 01 00 00 转换成了十六进制的 01 31来看

所以 31 01 00 00就是十进制的 305

5、成功找到了下一个数据报。

根据本次包5c 00 00 00来判断下一个包的位置。

5c 00 00 00十六进制就是  5c

6、根据本次：69 00 00 00

十六进制：69

十进制：105

7、根据本次：5c 00 00 00

十六进制 5c

十进制 92

8、根据本次找到的 3c 00 00 00

十六进制：3c 00 00 00

十进制：60

9、根据本次找到3c 00 00 00

十六进制：3c

十进制：60

10、以上找到了第十个数据包的开始位置。