SmartSniff 官方最新版 v2.29

软件介绍

SmartSniff是一款网络监视实用程序，可让用户捕获通过网络适配器的TCP/IP数据包，并将捕获的数据作为客户端和之间的对话顺序进行查看;用户可以以Ascii模式或十六进制转储查看TCP/IP对话;SmartSniff提供了3种捕获TCP/IP数据包的方法：原始套接字：允许您捕获网络上的TCP/IP数据包，而无需安装捕获驱动程序，这种方法有一些局限和问题;WinPcap Capture驱动程序：允许您捕获所有Windows作系统上的TCP/IP数据包，要使用它，必须从该网站下载并安装WinPcap Capture Dver;通常此方法是使用SmartSniff捕获TCP/IP数据包的首选方法，并且比Raw Sockets方法更好;Micsoft网络监视器驱动程序：Micsoft在Windows 2000/XP/2003下提供了免费的捕获驱动程序，SmartSniff可以使用该驱动程序!

SmartSniff新版功能

优化看选择环回接口或其他没有连接的网络接口时，SmartSniff崩溃。

所选网络适配器的现在显示在窗口标题中。

SmartSniff现在可以从https://nmap.org/npcap/自动加载新版本的WinPCap驱动程序(如果已安装在系统上)。

现在，SmartSniff会尝试根据HKEY_LOCAL_MACHINE中指定的安装路径来加载网络监视器驱动程序3.x的dll

此更改应解决在某些系统上加载Network Monitor Dver 3.x的问题。

在“捕获选项”窗口的适配器列表中增加了4列：“连接名称， MAC地址，实例ID，接口向导。

使用WinPCap驱动程序时，SmartSniff现在在“捕获选项”窗口的适配器列表中显示更准确的。

向原始套接字捕获方法(用于Windows Vista或更高版本)添加了用于捕获127.0的流量的选项。

添加了“在上部窗格中查找”选项。

在文件菜单下添加了“捕获活动”复选框(F11)。现在，您只需按F11键就可以临时暂停/恢复捕获。

添加了“始终在最前面”选项。

新增了二级排序支持：现在，您可以通过单击列标题的同时按住Shift键来进行二级排序。

请注意，在单击第二/第三/第四列时，只需按住Shift键即可。要对第一列进行排序，请不要按住Shift键。

SmartSniff现在允许您在开始捕获时将其自动添加到Windows防火墙的允许程序列表中

并在停止捕获时将其删除。

在Windows防火墙打开的情况下使用原始套接字捕获方法时

需要此选项，因为如果SmartSniff未添加到Windows防火墙，则根本不会捕获传入的流量。

SmartSniff现在可以记住您在“从文件加载数据包数据”选项中选择的最后一个文件类型。

固定为在“ L列表”显示模式下显示HTTP POST L。

添加了“在程序启动时捕获”选项。

在“查看”菜单下添加了标记奇数/偶数行选项。

启用后，奇数行和偶数行将以不同的颜色显示，从而使读取单行变得更加容易。

增加了对GeoLite City数据库的支持。现在，您可以下载GeoLite City数据库(GeoLiteCity.dat.gz)

将其放在smsniff.exe的同一文件夹中，SmartSniff将自动使用它来获取每个IP地址的国家/城市。

添加了“自动调整列+标题的大小”选项，该选项使您可以根据行值和列标题自动调整列的大小。

添加了“查找”选项(Ctrl + F)，可轻松在下部窗格中查找文本。

SmartSniff软件特色

添加了“使用DNS查询和缓存作为主机名”选项。

启用后，SmartSniff会分析捕获的DNS查询，并将其用于显示本地/远程主机名。也使用Windows的内部DNS缓存。

添加了“持续时间”列，该列显示了捕获时间和最后一个数据包时间之间的时差。

更新了内部国家/地区名称列表(添加了更多的14个国家/地区)，以便与IP用于国家/地区文件一起使用。

添加了“提取HTTP文件”选项(在“文件”菜单下)

该选项使您可以轻松地将存储在选定流中的所有HTTP文件提取到所选文件夹中。

添加了“重新启动捕获”选项(Ctrl + R)，它将停止捕获，立即再次启动。

增加了可以保存到.cfg文件中的总过滤器字符串(捕获过滤器和显示过滤器)的大小。

当“捕获数据包时检索过程”选项打开时，“过程用户”列现在显示指定过程的用户名。

添加了“解压缩HTTP响应”选项。启用后，将自动检测使用gzip压缩的HTTP响应，并以解压缩的形式显示。

添加了“隐藏下部窗格”选项(在“选项”菜单下)

当您在“仅统计”模式下工作且不需要下部窗格时，此选项很有用。

在“高级选项”窗口中添加了“仅显示活动连接”。

启用此选项后，SmartSniff会自动隐藏其连接已关闭的所有流。

这意味着SmartSniff将仅显示其连接仍处于打开状态的流。

在“保存数据包摘要”选项中增加了对.csv文件的支持。

添加了“将标题行添加到CSV /制表符分隔的文件”选项。

启用此选项后，在导出到csv或制表符分隔的文件时，列名将作为第一行添加。

在“选项”菜单下添加了“在实时模式下自动向下动”选项

添加了/ StartCapture和/ LoadConfig命令行选项。

添加了SmartSniff的x版本，以与Windows x上的Micsoft Network Monitor Dver 3.x一起使用。

SmartSniff安装步骤

1、用户可以点击本网站提供的下载路径下载得到对应的程序安装包

2、只需要使用解压功能将压缩包打开，双击主程序即可进行安装，弹出程序安装界面

3、可以根据自己的需要点击浏览按钮将应用程序的安装路径进行更改

4、弹出应用程序安装进度条加载界面，只需要等待加载完成即可

5、根据提示点击安装，弹出程序安装完成界面，点击完成按钮即可

SmartSniff使用说明

为了开始使用SmartSniff，只需将可执行文件(smsniff.exe)复制到您喜欢的任何文件夹中，运行它(不需要安装)。

运行SmartSniff之后，从“文件”菜单中选择“开始捕获”，或直接单击工具栏中的绿色播放按钮。如果是第一次使用SmartSniff，则将要求您选择要使用的捕获方法和网络适配器。如果您的计算机上安装了WinPcap，建议使用此方法捕获数据包。

选择捕获方法和网络适配器后，单击“确定”按钮开始捕获TCP / IP数据包。在捕获数据包时，尝试浏览某些网站，或从电子邮件软件中检索新电子邮件。停止捕获后(通过单击红色的停止按钮)，SmartSniff将显示其捕获的所有TCP / IP对话的列表。当您在上部窗格中选择特定对话时，下部窗格将显示所选客户端-对话的TCP / IP流。

如果要保存捕获的数据包以供以后查看，请使用“文件”菜单中的“将数据包数据保存到文件”选项。

显示模式

SmartSniff提供3种基本模式来显示捕获的数据：自动，Ascii和十六进制转储。在自动模式(默认)下，SmartSniff数据流的前几个字节-如果它包含的字符小于0x20(CR，LF和制表符除外)，它将以十六进制模式显示数据。否则，它将以Ascii模式显示。

通过从菜单中选择显示模式或使用F2-F4键，可以轻松地在显示模式之间切换。请注意，“ Hex Dump”模式比“ Ascii”模式要慢得多。

从1.35版开始，有一个新模式-“ L列表”。此模式仅显示在捕获的数据包中找到的L地址列表(http：// ...)。

导出捕获的数据

SmartSniff允许您轻松导出捕获的数据，以将其用于其他应用程序：

上部窗格：您可以在上部窗格中选择一个或多个项目，将它们复制到剪贴板(可以将复制的项目粘贴到Excel或OpenOffice.org的电子表格中)或将它们保存到text / HTML / XML文件(通过使用“保存数据包摘要”)。

下部窗格：您可以选择TCP / IP流的任何部分(或使用Ctrl + A来选择所有文本)，将所选文本复制到剪贴板，将其粘贴到记事本，写字板，MS-Word或其他其他编辑。当您将选定的流粘贴到Wordpad，OpenOffice.org或MS-Word的文档时，颜色也会被传输。

您还可以使用“导出TCP / IP流”选项将TCP / IP流导出到文本文件，HTML文件或原始数据文件。

显示ASCII 127以上的字符

默认情况下，TCP / IP流中不显示ASCII 127以上的字符。您可以使用“显示高于ASCII 127的字符”来启用高ASCII字符。使用此选项时，TCP / IP流显示为无颜色。请注意，在此模式下工作时，下部窗格的加载过程可能会非常缓慢。

“ IP国家”列

为了观看本地/远程IP地址的国家/地区，您必须从此处下载最新的IP To Country文件 。您已将“ IpToCountry.csv”文件放在smsniff.exe的同一文件夹中

您也可以使用GeoLite City数据库。只需下载Binary / gzip(GeoLiteCity.dat.gz)中的GeoLite City，并将其放在smsniff.exe的同一文件夹中即可。

如果要加快加载速度，请从GeoLiteCity.dat.gz中提取GeoLiteCity.dat并放入它在smsniff.exe的同一文件夹中

捕获和显示过滤器

从版本1.10开始，您可以在捕获过程中(捕获过滤器)或在显示捕获的TCP / IP数据时(显示过滤器)过滤不需要的TCP / IP活动。

对于这两种过滤器类型，您都可以使用以下语法添加一个或多个过滤器字符串(以空格或CRLF分隔)：

[ include | 排除]：[本地| 远程| 双方]：[ tcp | udp | tcpudp | icmp | 全部]：[ IP范围| 端口范围]

以下示例演示了如何创建过滤器字符串：

仅显示具有远程tcp端口80(网站)的数据包：

include：remote：tcp：80

仅显示具有远程tcp端口80(网站)和udp端口53(DNS)的数据包：

include：remote：tcp：80

include：remote：udp：53

仅显示源自以下IP地址范围的数据包

：192.168.0.1 192.168.0.100：include：remote：all：192.168.0.1-192.168.0.100

仅显示使用以下端口范围的TCP和UDP数据包

：53-139：包括：both：tcpudp：53-139

过滤大多数BitTorrent数据包(端口6881)：

排除：两者：tcpupd：6881

过滤所有IP数据包(Ping / Traceute活动)：

exclude：both：icmp

注意： 单个过滤器字符串不得包含空格!

现场模式

从1.10版开始，“高级选项”部分-“实时模式”中添加了一个新选项。

当SmartSniff在实时模式下捕获数据包时，在捕获数据包时将更新TCP/IP对话列表，而不是仅在捕获完成后才更新它

请注意，“实时模式”比非实时模式需要更多的CPU资源。

因此，如果您的计算机运行缓慢，或者网络上的流量很高，建议关闭此选项。

从版本1.20开始，您还可以在捕获数据包时查看每个TCP / IP对话的内容(在下部窗格中)。

但是，如果TCP / IP对话太大，则在停止捕获之前，您将无法观看整个TCP / IP对话。

查看过程

从版本1.30开始，您可以查看捕获的TCP数据包的过程(PcessID和过程文件名)。

但是，此功能有一些限制和问题：

仅显示TCP数据包的过程(不适用于UDP)

对于短时间后关闭的TCP连接，可能不会显示过程。

检索过程会消耗更多的CPU资源，并且可能会降低计算机的速度。如果您的网络流量很大，则不建议使用此功能

进程当前未保存在ssp文件中。

为了激活此功能，请转到“高级选项”对话框，选中“在捕获数据包时检索过程选项，单击“确定”按钮

将添加2个新列：PcessID和Pcess Filename。开始捕获，将显示捕获的TCP对话的过程。

.ssp文件(SmartSniff数据包文件)的结构

SmartSniff保存的.ssp文件的结构非常简单。它在文件的开头包含一个主标头

是所有TCP / IP数据包的序列，每个数据包都以一个小标头开始。

主要的标头结构：

00-SNF200签名。

08-(2个字节)标头中的字节数(当前IP地址为4个字节)

0A-(4个字节)IP地址

每个数据

包的标头： 00(2个字节)数据包标头大小(当前为0x18字节)

02(4个字节)数据包中接收到的字节数。

06(8字节)Windows FILETIME格式的数据包时间。

0E(6字节)源Mac地址。

14(6字节)目标 MAC地址。

1A其余字节是TCP / IP数据包本身。