作者:南大理寺卿
链接:https://www.jianshu.com/p/28dd6d59a82f
最近在分析RDP的数据流时,发现使用wireshark默认设置打开RDP数据,无法解析RDP数据的协议格式:
没有办法进行协议格式解析,这对后续分析造成很大困难。网上找了一圈,没有发现相关的解决办法,后来自己摸索到了解决方法,分享出来:
wireshark默认是不支持RDP协议解析的,需要经过设置。
-
选中一条RDP报文,右键->协议首选项->open Data preference....
-
找到TPKT(此处对此协议不做解释,可自行google):
需要注意,它的默认TCP端口是102,由于rdp常用端口为3389,进行修改。
-
修改端口为3389
这样,再去查看RDP的相关数据报文,就可以进行格式解析了。