SmartSniff V2.30 绿色版网络数据包捕获工具

宝哥软件园为您提供SmartSniff,网络数据包捕获工具免费下载，SmartSniff是一款专业的网络数据包捕获工具。捕获网络数据包就来使用SmartSniff。

SmartSniff是一款专业的网络数据包捕获工具。捕获网络数据包以使用智能嗅探。该软件允许用户捕获通过网络适配器的TCP/IP数据包，并将捕获的数据视为客户端和服务器之间的对话序列。用户可以以Ascii模式或十六进制转储查看TCP/IP会话；SmartSniff提供了三种捕获TCP/IP数据包的方法：原始套接字：它允许您在网络上捕获TCP/IP数据包，而无需安装捕获驱动程序。这种方法有一定的局限性和问题。WinPcap捕获驱动程序：允许您在所有Windows操作系统上捕获TCP/IP数据包。要使用它，您必须从该网站下载并安装WinPcap Capture驱动程序。通常，这种方法是使用智能嗅探捕获TCP/IP数据包的首选方法，并且优于原始套接字方法。微软网络监视器驱动：微软在Windows 2000/XP/2003下提供了一个免费的捕获驱动，可以被SmartSniff使用！

软件功能：

最佳情况下，当选择没有连接信息的环回接口或其他网络接口时，SmartSniff会崩溃。

关于所选网络适配器的信息现在显示在窗口标题中。

SmartSniff现在可以自动从https://nmap.org/npcap/加载新版本的WinPCap驱动程序(如果安装在系统上)。

现在，SmartSniff将尝试根据HKEY_LOCAL_MACHINE中指定的安装路径加载网络监视器驱动程序3.x dll。

这一更改应该可以解决在某些系统上加载网络监视器驱动程序3.x的问题。

在“捕获选项”窗口的适配器列表中添加了四列：“连接名称、媒体访问控制地址、实例标识、接口向导”。

使用WinPCap驱动程序时，SmartSniff现在可以在“捕获选项”窗口的适配器列表中显示更准确的信息。

将捕获127.0通信的选项添加到原始套接字捕获方法中(适用于Windows Vista或更高版本)。

增加了“查看上方窗格”选项。

在文件菜单下，添加了捕获活动复选框(F11)。现在，只需按F11，您就可以暂时暂停/恢复捕获。

增加了“总是在前面”选项。

增加了对二次排序的支持：现在可以按住Shift键，点击列标题进行二次排序。

请注意，您只需要在单击第二/第三/第四列时按住Shift键。要对第一列进行排序，请不要按住Shift键。

SmartSniff现在允许您在开始捕获时自动将其添加到Windows防火墙中允许的程序列表中。

并在捕获停止时将其删除。

在Windows防火墙打开的情况下使用原始套接字捕获方法时，

此选项是必需的，因为如果智能嗅探未添加到Windows防火墙，则根本不会捕获传入流量。

SmartSniff现在可以记住您在“从文件加载包数据”选项中选择的最后一种文件类型。

固定为在网址列表显示模式下显示HTTP POST网址。

增加了“程序启动时捕获”选项。

在“视图”菜单下添加了标记奇数/偶数行的选项。

启用后，奇数行和偶数行将以不同的颜色显示，从而更容易读取单行。

增加了对GeoLite城市数据库的支持。您现在可以下载GeoLite城市数据库(GeoLiteCity.dat.gz)

把它放在smsniff.exe的同一个文件夹里，SmartSniff会自动用它来获取每个IP地址的国家/城市信息。

添加了“自动调整列标题大小”选项，允许您根据行值和列标题自动调整列的大小。

添加了“查找”选项(Ctrl-F)，以便于在下方窗格中查找文本。

安装步骤：

1.用户可以点击本网站提供的下载路径下载相应的程序安装包

2.只需使用解压功能打开压缩包，双击主程序进行安装，弹出程序安装界面

3.您可以单击“浏览”按钮，根据需要更改应用程序的安装路径

4、弹出应用安装进度条的加载界面，只需等待加载完成即可

5.根据提示点击“安装”，弹出程序安装完成界面，点击“完成”按钮

软件特色：

增加了“使用DNS查询和缓存作为主机名”选项。

启用后，智能嗅探将分析捕获的域名系统查询，并使用它们显示本地/远程主机名。它还使用了Windows的内部DNS缓存。

添加了持续时间列，它显示了捕获时间和最后一个数据包的时间之间的时间差。

更新了内部国家/地区名称列表(增加了14个其他国家/地区)，以便与国家/地区文件的IP一起使用。

增加了“提取HTTP文件”选项(在“文件”菜单下)

使用此选项，您可以轻松地将存储在所选流中的所有HTTP文件提取到所选文件夹中。

增加了“重启捕获”选项(Ctrl R)，将停止捕获，然后立即重新启动。

增加了可以保存到的总筛选器字符串(捕获筛选器和显示筛选器)的大小。cfg文件。

当“捕获数据包时检索进程信息”选项打开时，“进程用户”列现在显示指定进程的用户名。

增加了“提取HTTP响应”选项。启用后，将自动检测使用gzip压缩的HTTP响应。

以解压缩形式显示。

增加了“隐藏下窗格”选项(在“选项”菜单下)

当您在“仅统计”模式下工作并且不需要下部窗格时，此选项非常有用。

在“高级选项”窗口中添加了“仅显示活动连接”。

启用此选项后，智能嗅探将自动隐藏所有连接已关闭的流。

这意味着智能嗅探将只显示连接仍然打开的流。

增加了对的支持。保存数据包摘要选项中的csv文件。

添加了选项“向CSV/制表符分隔的文件添加标题行”。

启用此选项后，导出到csv或制表符分隔的文件时，列名将作为第一行添加。

在“选项”菜单下，添加了“实时模式下自动向下滚动”选项

为/StartCapture和/LoadConfig添加了命令行选项。

增加了xS64版本的SmartSniff，可以和Windows x64上的微软网络监视器驱动3.x配合使用。

使用说明：

要开始使用智能嗅探，只需将可执行文件(smsniff.exe)复制到您需要的任何文件夹并运行它(不需要安装)。

运行SmartSniff后，从“文件”菜单中选择“开始捕获”，或直接单击工具栏中的绿色播放按钮。如果您是第一次使用智能嗅探，将要求您选择要使用的捕获方法和网络适配器。如果您的计算机上安装了WinPcap，建议使用此方法捕获数据包。

选择捕获方法和网络适配器后，单击确定开始捕获TCP/IP数据包。当捕获数据包时，尝试浏览一些网站或从电子邮件软件中检索新的电子邮件。停止捕获后(通过单击红色停止按钮)，智能嗅探将显示它捕获的所有TCP/IP会话的列表。当您在上窗格中选择特定会话时，下窗格将显示所选客户端-服务器会话的TCP/IP流。

如果要保存捕获的包供以后查看，请使用“文件”菜单中的“将包数据保存到文件”选项。

显示方式

RtSniff提供三种基本模式来显示捕获的数据：自动、Ascii和十六进制转储。在自动模式(默认)下，SmartSniff检查数据流的前几个字节-如果它包含小于0x20的字符(除了Cr、LF和tab)，它将以十六进制模式显示数据。否则，它将以Ascii模式显示。

通过从菜单中选择显示模式或使用F2-F4键，您可以轻松地在显示模式之间切换。请注意，十六进制转储模式比Ascii模式慢得多。

从1.35版本开始，有了新的模式——“URL列表”。此模式仅显示在捕获的数据包中找到的网址列表(http://.).

导出捕获的数据

SmartSniff允许您轻松导出捕获的数据，以便在其他应用程序中使用：

上窗格：您可以在上窗格中选择一个或多个项目，并将其复制到剪贴板(您可以将复制的项目粘贴到Excel或OpenOffice.org的电子表格中)或将其保存到文本/HTML/XML文件中(通过使用保存数据包摘要)。

下窗格：可以选择TCP/IP流的任意部分(或者使用Ctrl-A选择所有文本)，将选择的文本复制到剪贴板，然后粘贴到记事本、写字板、MS-Word或其他编辑器中。当您将选定的流粘贴到写字板、OpenOffice.org或微软Word文档中时，颜色也会随之改变。

您也可以使用“导出TCP/IP流”选项将TCP/IP流导出到文本文件、HTML文件或原始数据文件。

显示ASCII 127以上的字符

默认情况下，在TCP/IP流中不显示ASCII 127以上的字符。您可以使用显示高于ASCII 127的字符来启用高ASCII字符。使用此选项，TCP/IP流显示时不带颜色。请注意，在此模式下工作时，加载过程

下方窗格中的Ss可能较慢。

“知识产权国家/地区”栏

要查看本地/远程IP地址的国家，您必须从这里下载最新的IP To Country文件。您已经将文件“网络国家. csv”放在smsniff.exe的同一个文件夹中

您也可以使用GeoLite城市数据库。只需以二进制/gzip(GeoLiteCity.dat.gz)下载GeoLite City，并将其放在smsniff.exe的同一文件夹中。

如果你想加速加载，请提取地理信息。它来自GeoLiteCity.dat.gz，放在和smsniff.exe一样的文件夹里

捕获和显示过滤器

从1.10版开始，您可以在捕获期间(捕获过滤器)或显示捕获的TCP/IP数据时(显示过滤器)过滤不想要的TCP/IP活动。

对于这两种过滤器类型，可以使用以下语法添加一个或多个过滤器字符串(用空格或CRLF分隔):

[包含|排除]:[本地|远程|两者]: [TCP | UDP | TCP UDP | icmp |全部]: [IP范围|端口范围]

下面的示例演示如何创建筛选器字符串：

仅显示带有远程tcp端口80(网站)的数据包：

包括：远程：TCP: 80

仅显示具有远程tcp端口80(网站)和udp端口53(DNS)的数据包：

包括：远程：TCP: 80

包括：远程：UDP: 53

仅显示来自以下IP地址范围的数据包

:192.168.0.1 192.168.0.100:包括：远程：全部：192.168.0.1-192.168.0.100

仅使用以下端口范围来显示TCP和UDP数据包

:53-139:包括：两者：TCP UDP: 53-139

过滤大多数BitTorrent数据包(端口6881):

排除：两者：TCP UPD: 6881

过滤所有互联网控制消息协议(Ping/Traceroute活动):

排除：两者：icmp

注意：单个筛选字符串不能包含空格！

现场模式

从1.10版本开始，在高级选项部分-实时模式中增加了一个新选项。

当SmartSniff实时捕获数据包时，它会在捕获数据包时更新TCP/IP会话列表，而不是在捕获完成后才更新。

请注意，“实时模式”比非实时模式需要更多的CPU资源。

因为，如果您的计算机运行缓慢或网络流量高，建议关闭此选项。

从1.20版本开始，您还可以在捕获数据包时查看每个TCP/IP会话的内容(在下面的窗格中)。

但是，如果TCP/IP会话太大，在捕获停止之前，您将无法观看整个TCP/IP会话。

查看流程信息

从1.30版本开始，您可以查看捕获的TCP数据包的进程信息(ProcessID和进程文件名)。

但是，该功能有一些限制和问题：

仅显示TCP消息的进程信息(不适用于UDP)

对于短时间后关闭的TCP连接，可能不会显示进程信息。

检索进程信息将消耗更多的CPU资源，并可能降低计算机速度。如果您的网络流量很大，不建议使用此功能

流程信息当前未保存在ssp文件中。

要激活此功能，请转到“高级选项”对话框，选择“捕获数据包时检索进程信息”选项，然后单击“确定”

将添加两个新列：进程和进程文件名。捕获开始后，将显示捕获的TCP会话的进程信息。

南s.ssp文件的结构(SmartSniff数据包文件)

的结构。SmartSniff保存的ssp文件非常简单。它在文件的开头包含一个主标题

然后是所有TCP/IP数据包的顺序，每个数据包都以一个小报头开始。

主要标题结构：

00-SMSNF200签名。

08-(2字节)报头中的字节数(当前IP地址为4字节)

0A-(4字节)IP地址

每个数据

标头：00(2字节)标头大小(当前为0x18字节)

02(4字节)数据包中接收的字节数。

Windows FILETIME格式的06(8字节)数据包时间。

0E(6字节)源Mac地址。

14 (6字节)目的媒体访问控制地址。

1A的剩余字节本身就是TCP/IP数据包。