一、文件还原02

任务描述：确定POST这条数据包是否上传了文件，若存在则将数据dump出来。

1. 虽然我们看到了有upload关键字，有post方法，但是我们不能确定是不是真的就是上传文件的那个请求。我们来分析一下。双击该行。弹出协议分析框。点击+号，将子栏展开。
   我们可以看到，确实是上传了文件，而且文件名是bingo.png。原来他上传的是一张图片。在上方红色部分，我们可以看到由于文件比较大，TCP协议对其进行了切片，一共切了5个片。我们点击下方的各个Frame，就可以看到每个包中的内容。

问题来了，能不能将这几个切片还原成一个流式会话，这样我们就能看到一个会话过程，而不是需要一个一个的去点击。

Wireshark还真可以做到。

2. 关闭这个界面，回到我们过滤后的那个POST包，右键Follow TCP Stream
   这时候我们会看到：
   整个会话都被还原了出来。我们看到了png的原始信息。继续往下拉，我们会看到有关蓝色的显示，这是服务器给我们的回应。我们的图片信息保存在请求部分，因此可以过滤掉响应部分。
   因为文件肯定比响应大，所以我们选择6010那个。这时候就没有响应部分出现了。

3. 保存原始文件，以便下一步处理。我们已经知道，请求部分中包含了文件的原始信息。因此，我们可以先保存下来，然后处理一下，得到原始文件。

我们选择raw类型进行保存，表示使用二进制形式保存文件。