运用wireshark进行运输文件的还原

此过程为在连接同一个热点下QQ传输文件环境下进行：

下面为个人向电脑传输一张图片所示

我们选择下面这样图片为演示代表

1、将电脑与手机连接至同一热点，并记录下手机IP地址

2、在wireshark中在WLAN的搜索栏内输入ip.src==与个人的手机ip地址，并同时向电脑发送相关的文件内容

3、在wireshark所抓取的数据包中选定其中一个并右击鼠标选择追踪流的TCP流

4、在追踪TCP流中的在左下角的整个对话中选择从手机IP->电脑IP的选择并且将show data as选择为原始数据的转换并且存储下来，在存储的选择上把传输文件的类型所对应的后缀名标识清楚。（列如表示图片的.jpg或者表示文档的.xlsx、.png等）

5、我们可以在电脑所存储图片的地方打开该文档发现是打不开的，这是因为在文档的前面为QQ所发送过程中的相应的信息内容，电脑无法识别所以导致无法打开该图片

就如同这样的情况

6、这里我们将使用winhex或者010 editor打开文档，并从百度中得知图片的十六进制前缀为FF D8，找到相应前缀把该十六进制数前面的数据选择删除并保存，最终得出相应的文件复原

总结：在复原文件的时候应看清所属文件类型选择不同的后缀以及弄明白不同文件的十六进制前缀从而达到复原文件的效果。