Dans le dump, on voit beaucoup de TCP RESET! mais aussi d'autres flags dans tous les sens
(ECN, URG, FIND…)
On observe alors les deux bytes utilisés pour les flags TCP: ici, P%
En faisant défiler chaque paquet TCP ainsi, on voit que les bytes des flags forment
P% PP PD PF P- P1 P. P7 soit le header %PDF-1.7 d'un fichier PDF
On crée une colonne Wireshark avec les deux bytes des flags TCP et on exporte les données
On se crée un script qui va parser ces données extraites, récupérer les deux bytes des flags TCP,
et ne garder que le deuxième pour reconstituer le fichier PDF
Après quelques essais, le script finit par fonctionner
Principe:
