¿Hay un ejemplo en términos de análisis forense en el que Wireshark pueda ser el único método para extraer los datos en su archivo .pcap?
NetworkMiner es una gran herramienta para la extracción automática de archivos de una captura de paquetes. También es sorprendentemente útil y bueno para extraer mensajes como correos electrónicos. Lo que no sirve de nada es el análisis manual de paquetes, que es donde brilla Wireshark.
Consulte aquí.
Dentro de ese enlace, es una publicación corta de reddit con alguien que hizo una pregunta similar. Creo que esa fue la mejor respuesta para ti, y tengo algunos conocimientos personales que incluir.
Wireshark es una muy buena herramienta para analizar paquetes entre su red y una red específica que está monitoreando. Es especialmente poderoso si sabe cómo identificar protocolos de red como TCP, DNS, SFTP, etc. El sistema de filtrado también es < fuerte> muy útil , y como se indica en la cita anterior, NetworkMiner es especialmente bueno para la extracción de mensajes y también creo que es bueno para la supervisión de la red MITM.
Sí, hay situaciones en las que tendrá que recurrir al uso de Wireshark, por ejemplo, al analizar protocolos que no son compatibles con NetworkMiner.
Un uso común de NetworkMiner es la extracción de archivos que se han transferido a través de una red. Los siguientes protocolos de transferencia de archivos se implementan actualmente en NetworkMiner: FTP, TFTP, HTTP, SMB, SMB2 y SMTP (consulte sitio oficial de NetworkMiner ). Por lo tanto, los archivos transferidos a través de otros protocolos no serán extraídos automáticamente por NetworkMiner.