二、答题步骤

1.winhex或Wireshark

搜索flag，发现flag.png文件

2.tcpxtract

tcpxtract -f 434c8c0ba659476caa9635b97f95600c.pcap

打开png图片发现flag：HITB{95700d8aefdc1648b90a92f3a8460a2c}

总结

在计算机网络管理中，pcap（packet capture）由捕获网络流量的应用程序编程接口（API）组成。类Unix的系统主要是在libpcap库中实现pcap，而Windows系统则是使用名为WinPcap的libpcap端口。

监控软件可能会使用libpcap或WinPcap捕获通过网络传播的数据包，并在较新版本中链路层的网络上传输数据包，以及获取可能与libpcap或WinPcap一起使用的网络接口列表。pcap API是用C编写的，所以其他语言，如Java，.NET语言以及脚本语言通常需要使用封装器，libpcap或WinPcap本身并不提供封装。而C++程序则可以直接链接到C API或使用面向对象的封装器。

libpcap和WinPcap提供了许多开源和商业网络工具的数据包捕获和过滤引擎，包括协议分析器（数据包嗅探器）、网络监视器、网络入侵检测系统、流量生成器和网络测试器。libpcap和WinPcap还支持将捕获的数据包保存到文件中，并读取包含保存的数据包的文件; 使用libpcap或WinPcap可以编写应用程序，就能够很好的捕获网络流量并对其进行分析，或使用相同的分析代码读取保存的捕获并进行分析。以libpcap和WinPcap使用的格式保存的捕获文件可以由能够读取该格式的应用程序（如tcpdump，Wireshark，CA NetMaster或Microsoft Network Monitor 3.x）进行读取。

libpcap和WinPcap创建和读取的文件格式的MIME类型为application / vnd.tcpdump.pcap。典型的文件扩展名是.pcap，除此之外.cap和.dmp也是常用的。