netsh trace start capture=yes traceFile=“c://software/tcp.etl” overwrite=yes correlation=no protocol=tcp ipv4.address=192.168.0.100 maxSize=50MB
c:/software/
。netsh trace start capture=yes traceFile=“c://software/tcp.etl” overwrite=yes correlation=no protocol=tcp ipv4.address=192.168.0.100 maxSize=50MB
3.结束抓包的时候在控制台输入
netsh trace stop
会终止抓包,存储到c://software/tcp.etl
文件。可以拷贝到外部计算机进行分析。
4.可使用 etl2pcapng.exe
进行转换为cap文件
下载地址:
https://github.com/microsoft/etl2pcapng/releases
https://www.winccoa.top/tools/etl2pcapng.exe
例子
etl2pcapng.exe capture.etl out.pcapng
将out.pcapng
在wireshark打开out.pcapng
进行分析。