SmartSniff V2.30 绿色版网络数据包捕获工具

SmartSniff是一款专业的网络数据包捕获工具。捕获网络数据包就来使用SmartSniff。软件允许用户捕获通过网络适配器的TCP / IP数据包，并将捕获的数据作为客户端和服务器之间的对话顺序查看；用户可以以Ascii模式或十六进制转储查看TCP / IP对话； SmartSniff提供了三种捕获TCP / IP数据包的方法：原始套接字：允许您捕获网络上的TCP / IP数据包而无需安装捕获驱动程序。这种方法有一些局限性和问题。 WinPcap Capture驱动程序：允许您捕获所有Windows操作系统上的TCP / IP数据包。要使用它，您必须从该网站下载并安装WinPcap Capture驱动程序。通常，此方法是使用SmartSniff捕获TCP / IP数据包的首选方法，并且优于Raw Sockets方法。 Microsoft网络监视器驱动程序：Microsoft在Windows 2000 / XP / 2003下提供了免费的捕获驱动程序，SmartSniff可以使用此驱动程序！

软件功能：

优化地，选择没有连接信息的环回接口或其他网络接口时，SmartSniff崩溃。

所选网络适配器的信息现在显示在窗口标题中。

SmartSniff现在可以从https://nmap.org/npcap/自动加载新版本的WinPCap驱动程序（如果已安装在系统上）。

现在，SmartSniff将尝试根据HKEY_LOCAL_MACHINE中指定的安装路径来加载网络监视器驱动程序3.x dll。

此更改应解决在某些系统上加载Network Monitor Driver 3.x的问题。

在“捕获选项”窗口的适配器列表中已添加4列：“连接名称，MAC地址，实例ID，接口向导”。

使用WinPCap驱动程序时，SmartSniff现在在“捕获选项”窗口的适配器列表中显示更准确的信息。

向原始套接字捕获方法添加了捕获127.0通信的选项（对于Windows Vista或更高版本）。

添加了“在上部窗格中查找”选项。

在“文件”菜单下添加了“捕获活动”复选框（F11）。现在，您只需按F11键就可以临时暂停/恢复捕获。

添加了“始终在最前面”选项。

添加了对二级排序的支持：现在，您可以在按住Shift键的同时单击列标题来执行二级排序。

请注意，您只需要在单击第二/第三/第四列时按住Shift键即可。要对第一列进行排序，请不要按住Shift键。

SmartSniff现在允许您在开始捕获时将其自动添加到Windows防火墙中允许的程序列表中

并在停止捕获时将其删除。

在Windows防火墙打开的情况下使用原始套接字捕获方法时

此选项是必需的，因为如果SmartSniff没有添加到Windows防火墙中，则根本不会捕获传入的流量。

SmartSniff现在可以记住您在“从文件加载数据包数据”选项中选择的最后一个文件类型。

固定为在“ URL列表”显示模式下显示HTTP POST URL。

添加了“程序启动时捕获”选项。

在“查看”菜单下添加了标记奇数/偶数行的选项。

启用后，奇数行和偶数行将以不同的颜色显示，从而使读取单行更加容易。

添加了对GeoLite City数据库的支持。现在，您可以下载GeoLite City数据库（GeoLiteCity.dat.gz）

将其放在smsniff.exe的同一文件夹中，SmartSniff将自动使用它来获取每个IP地址的国家/城市信息。

添加了“自动调整列+标头的大小”选项，此选项可让您根据行值和列标头自动调整列的大小。

添加了“查找”选项（Ctrl + F），可轻松在下部窗格中查找文本。

安装步骤：

1.用户可以单击本网站提供的下载路径下载相应的程序安装包

2.只需使用解压功能打开压缩包，双击主程序进行安装，弹出程序安装界面

3.您可以单击浏览按钮根据需要更改应用程序的安装路径

4，弹出应用程序安装进度条的加载界面，只需等待加载完成

5.根据提示单击“安装”，将弹出程序安装完成界面，单击“完成”按钮

软件特色：

添加了“使用DNS查询和缓存作为主机名”选项。

启用时，SmartSniff将分析捕获的DNS查询，并使用它们显示本地/远程主机名。它还使用Windows的内部DNS缓存。

添加了“持续时间”列，该列显示了捕获时间和最后一个数据包的时间之间的时间差。

更新了内部国家/地区名称列表（添加了14个其他国家/地区）以与IP一起用于国家/地区文件。

添加了“提取HTTP文件”选项（在“文件”菜单下）

通过此选项，您可以轻松地将存储在所选流中的所有HTTP文件提取到所选文件夹中。

添加了“重新启动捕获”选项（Ctrl + R），它将停止捕获，然后立即再次启动。

增加了可以保存到.cfg文件的总过滤器字符串（捕获过滤器和显示过滤器）的大小。

当“捕获数据包时检索过程信息”选项打开时，“过程用户”列现在显示指定过程的用户名。

添加了选项“解压缩HTTP响应”。启用后，将自动检测使用gzip压缩的HTTP响应，

以解压缩形式显示。

添加了“隐藏下部窗格”选项（在“选项”菜单下）

当您在“仅统计”模式下工作并且不需要下部窗格时，此选项很有用。

在“高级选项”窗口中添加了“仅显示活动连接”。

启用此选项后，SmartSniff将自动隐藏其连接已关闭的所有流。

这意味着SmartSniff将仅显示其连接仍处于打开状态的流。

在“保存数据包摘要”选项中添加了对.csv文件的支持。

添加了“将标题行添加到CSV /制表符分隔文件”选项。

启用此选项后，导出到csv或制表符分隔的文件时，列名将添加为第一行。

在“选项”菜单下添加了“以实时模式自动向下滚动”选项

添加了/ StartCapture和/ LoadConfig命令行选项。

添加了xS64版本的SmartSniff，可与Windows x64上的Microsoft Network Monitor Driver 3.x一起使用。

使用说明：

要开始使用SmartSniff，只需将可执行文件（smsniff.exe）复制到所需的任何文件夹中并运行它（无需安装）。

运行SmartSniff之后，从“文件”菜单中选择“开始捕获”，或直接单击工具栏中的绿色播放按钮。如果是第一次使用SmartSniff，则将要求您选择要使用的捕获方法和网络适配器。如果您的计算机上安装了WinPcap，建议使用此方法捕获数据包。

选择捕获方法和网络适配器后，单击“确定”按钮开始捕获TCP / IP数据包。捕获数据包时，请尝试浏览某些网站或从电子邮件软件中检索新电子邮件。停止捕获后（通过单击红色的停止按钮），SmartSniff将显示其捕获的所有TCP / IP对话的列表。当您在上部窗格中选择特定对话时，下部窗格将显示所选客户端-服务器对话的TCP / IP流。

如果要保存捕获的数据包以供以后查看，请使用“文件”菜单中的“将数据包数据保存到文件”选项。

显示模式

rtSniff提供3种基本模式来显示捕获的数据：自动，Ascii和十六进制转储。在自动模式（默认）下，SmartSniff检查数据流的前几个字节-如果它包含的字符小于0x20（CR，LF和制表符除外），它将以十六进制模式显示数据。否则，它将以Ascii模式显示。

通过从菜单中选择显示模式或使用F2-F4键，您可以轻松地在显示模式之间切换。请注意，“十六进制转储”模式比“ Ascii”模式慢得多。

从1.35版开始，有一个新模式-“ URL列表”。此模式仅显示在捕获的数据包（http：// ...）中找到的URL地址列表。

导出捕获的数据

SmartSniff允许您轻松导出捕获的数据以将其用于其他应用程序：

上部窗格：您可以在上部窗格中选择一个或多个项目，然后将它们复制到剪贴板（可以将复制的项目粘贴到Excel或OpenOffice.org中的电子表格中）或将它们保存到text / HTML / XML文件中（通过使用“保存数据包摘要”）。

下部窗格：您可以选择TCP / IP流的任何部分（或使用Ctrl + A选择所有文本），将选定的文本复制到剪贴板，然后将其粘贴到记事本，写字板，MS-Word或其他其他编辑器。当您将选定的流粘贴到Wordpad，OpenOffice.org或MS-Word文档中时，颜色也将被传输。

您也可以使用“导出TCP / IP流”选项将TCP / IP流导出到文本文件，HTML文件或原始数据文件。

显示ASCII 127以上的字符

默认情况下，TCP / IP流中不显示ASCII 127以上的字符。您可以使用“显示高于ASCII 127的字符”来启用高ASCII字符。使用此选项时，TCP / IP流显示为无颜色。请注意，在此模式下工作时，加载过程

下部窗格的ss可能很慢。

“知识产权国家/地区”列

为了查看本地/远程IP地址的国家/地区，您必须从此处下载最新的IP To Country文件。您已将“ IpToCountry.csv”文件放在smsniff.exe的同一文件夹中

您也可以使用GeoLite City数据库。只需下载Binary / gzip（GeoLiteCity.dat.gz）中的GeoLite City，然后将其放在smsniff.exe的同一文件夹中即可。

如果要加快加载速度，请从GeoLiteCity.dat.gz中提取GeoLiteCity.dat并将其与smsniff.exe放在同一文件夹中

捕获并显示过滤器

从版本1.10开始，您可以在捕获过程中（捕获过滤器）或在显示捕获的TCP / IP数据时（显示过滤器）过滤不需要的TCP / IP活动。

对于这两种过滤器类型，都可以使用以下语法添加一个或多个过滤器字符串（以空格或CRLF分隔）：

[包括|排除]：[本地|远程|两者]：[tcp | udp | tcpudp | icmp |全部]：[IP范围|端口范围]

下面的示例演示如何创建过滤器字符串：

仅显示具有远程tcp端口80（网站）的数据包：

包括：远程：tcp：80

仅显示具有远程tcp端口80（网站）和udp端口53（DNS）的数据包：

包括：远程：tcp：80

包括：远程：udp：53

仅显示来自以下IP地址范围的数据包

：192.168.0.1 192.168.0.100：包括：远程：全部：192.168.0.1-192.168.0.100

仅使用以下端口范围显示TCP和UDP数据包

：53-139：包括：两者：tcpudp：53-139

过滤大多数BitTorrent数据包（端口6881）：

排除：两者：tcpupd：6881

过滤所有ICMP数据包（Ping / Traceroute活动）：

排除：两者：icmp

注意：单个过滤器字符串不得包含空格！

现场模式

从版本1.10开始，在“高级选项”部分-“实时模式”中添加了一个新选项。

当SmartSniff实时捕获数据包时，将在捕获数据包时更新TCP / IP会话列表，而不是仅在捕获完成后才更新它

请注意，“实时模式”比非实时模式需要更多的CPU资源。

因，如果您的计算机运行缓慢或网络上的流量很高，建议关闭此选项。

从版本1.20开始，您还可以在捕获数据包时查看每个TCP / IP对话的内容（在下部窗格中）。

但是，如果TCP / IP对话太大，则在停止捕获之前，您将无法观看整个TCP / IP对话。

查看过程信息

从版本1.30开始，您可以查看捕获的TCP数据包的过程信息（ProcessID和过程文件名）。

但是，此功能有一些限制和问题：

只显示TCP报文的进程信息（不适用于UDP）

对于短时间后关闭的TCP连接，可能不会显示过程信息。

检索过程信息会消耗更多的CPU资源，并且可能会降低计算机的速度。如果您的网络流量很大，则不建议使用此功能

进程信息当前未保存在ssp文件中。

为了激活此功能，请转到“高级选项”对话框，选中“捕获数据包时检索过程信息”选项，然后单击“确定”按钮

将添加2个新列：ProcessID和Process Filename。开始捕获后，将显示捕获的TCP会话的过程信息。

s.ssp文件（SmartSniff数据包文件）的结构

SmartSniff保存的.ssp文件的结构非常简单。它在文件开头包含一个主标头

然后是所有TCP / IP数据包的序列，每个数据包都以一个小头开头。

主要标题结构：

00-SMSNF200签名。

08-（2个字节）标头中的字节数（当前IP地址为4个字节）

0A-（4字节）IP地址

每个数据

数据包头：00（2个字节）数据包头大小（当前为0x18字节）

02（4个字节）数据包中接收到的字节数。

Windows FILETIME格式的06（8字节）数据包时间。

0E（6字节）源Mac地址。

14个（6字节）目标MAC地址。

1A的其余字节是TCP / IP数据包本身。