Extraer archivos de captura pcap manualmente (Wireshark, tcpdump)

Para extraer archivos pcap capturados con wireshark, tcpdump, ... desde Windows se puede utilizar la herramienta Network Miner, para linux tenemos tcpxtract pero suele dar fallos de segmentación por lo que he encontrado una web donde nos explican de foma muy sencilla como extraer los archivos de forma manual desde Wireshark.

http://sansforensics.wordpress.com/2009/03/10/pulling-binaries-from-pcaps/

Básicamente, los pasos son:

1. Botón derecho en la petición GET del archivo que queremos
2. Escogemos Follow TCP stream y nos muestra el dialogo seguido en esa petición
   
3. Abajo escogemos la comunicación del servidor al cliente para obtener todos los paquetes del servidor.
4. Pinchamos en Save as

Estos son los pasos que se indican en el blog, pero en mi caso tuve que realizar otro más


5. Abrir con un editor hexadecimal o con vim el archivo guardado y eliminar la cabecera http.
   $> vim -b captura

David