在由Wireshark捕獲的PCap文件中搜索unicode字符串（UTF-16）

Question

我嘗試搜索由Wireshark工具捕獲的Pcap文件中的字符串。從/到sql服務器的所有字符串被格式化爲Unicode字符串（UTF-16）。

當框架包含像「select」這樣的Unicode字符串時，它顯示爲「s e l e c t」，字符之間的空格爲空字符\ x00。

在使用下面的顯示過濾器的情況下：

frame contains "s e l e c t" 

幀不進行過濾。

所以，我必須將字符串手動轉換「中選擇」爲十六進制小數，並運行該顯示器濾光片：

frame contains 73:00:65:00:6c:00:65:00:63:00:74:00 

，它的工作。另外，我嘗試使用查找工具（在工具欄中）並選擇Wide（UTF-16）並輸入「s e l e c t」，但找不到該字符串。

我使用Wireshark 2.2.0 v sample of data

• 有沒有一種簡單的方法來過濾Unicode字符串指導，而不是將字符串轉換爲十六進制的字符串。
• 當我選擇文本框Wide（UTF-16）來搜索ASCII字符串時，我應該在查找工具中輸入什麼。 「選擇」，但作爲一個Unicode字符串

Answer 1

Q.Is有一個簡單的方法爲Unicode字符串過濾指導，而不是將字符串轉換爲十六進制字符串

的「匹配」操作，允許過濾器適用於Perl兼容的正則表達式（PCRE）。

單詞「選擇」，該顯示器濾光片將是：

frame matches "s.e.l.e.c.t" 

在這裏代表任意字符，點對我們來說這是\ x00的字符

不區分大小寫樣選擇，選擇：

frame matches "(?i)s.e.l.e.c.t" 

（？i）執行不區分大小寫的模式匹配。

Q.當選擇文本框Wide（UTF-16）來搜索ASCII字符串時，我應該在查找工具中輸入什麼，例如「選擇」，但作爲一個Unicode字符串

點擊從工具欄上的「查找工具」，在下拉列表中選擇以下：

選擇「包字節」 =>選擇「窄&寬」 =>選擇「字符串」

輸入單詞以搜索eg在文本框中選擇「選擇」。

如果存在該單詞，則在「包字節」區域中找到幀數據區域