hannes-wan/pcap-surgery

GitHub: hannes-wan/pcap-surgery

一款可视化桌面 PCAP 编辑器,弥补 Wireshark 只读不可编辑和 editcap 命令行难用的缺陷,支持逐包检查、编辑、校验和修复与安全导出。

Stars: 0 | Forks: 0

# PCAP 手术 一款可视化的桌面 PCAP 编辑器。打开抓包文件,在可排序的表格中查看每一个数据包,进行过滤、编辑、修复校验和并导出 —— 无需死记 editcap 的各种命令标志。 [官方网站](https://hannes-software.com/pcap-surgery/) · [下载](https://hannes-software.com/pcap-surgery/download/) · [定价](https://hannes-software.com/pricing/) · [文档](https://hannes-software.com/pcap-surgery/help/) · [报告问题](https://github.com/hannes-software/pcap-surgery/issues) ![pcap-surgery](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a8c8346a31124436.png) ![pcap-surgery](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/9443e293e9124441.png) ![pcap-surgery](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/cbc0a88ffa124446.png) ## 为什么开发这款工具 editcap 功能强大,但它同样是一个命令行工具,要求你记住诸如 `-F pcap -i 60 -s 128 -A "2023-01-01 00:00:00" -B "2023-01-01 01:00:00"` 的各种标志。输出文件名一旦拼写错误,你就会覆盖掉原始的抓包文件,而且无法撤销。 Wireshark 能极其美观地为你展示数据包,但它无法进行编辑。你可以进行过滤和导出,但不能删除单个数据包、修复校验和或重写某个字段。 PCAP Surgery 就是介于两者之间的可视化编辑器:像 Wireshark 一样检查,像文本编辑器一样编辑,像 editcap 一样导出 —— 并且支持撤销。 ## 适用人群 - 经常需要在分享前清理、裁剪或修复抓包文件的网络工程师 - 需要从实际流量中构建测试向量的协议开发者 - 需要修改抓包文件进行测试的网络安全研究员 —— 且不会意外损坏文件 - 任何在同一个会话中不止一次输入过 `editcap --help` 的人 ## 核心功能 - **可视化数据包表格**:支持排序、过滤,并带有每个数据包的协议解码 - **Wireshark 显示过滤器语法**:`tcp.port == 80`、`ip.addr == 192.168.1.1` —— 沿用你已熟悉的语法 - **数据包级别的编辑**:删除单个数据包、重写特定字段、修复校验和 - **撤销/重做**:每一次编辑都是可逆的。再也不用担心“我覆盖了文件,原文件没了” - **批量校验和修复**:通过一次操作修复数千个数据包中损坏的 IP、TCP 和 UDP 校验和 - **导出**:标准的 PCAP/PCAPNG 格式,可被 Wireshark、tcpdump 及所有其他工具读取 ## 实际应用场景 - **需要分享抓包文件,但其中包含敏感流量** → 过滤出敏感 IP,删除这些数据包,导出干净的抓包文件。 - **防火墙厂商要求“发一份出问题的 PCAP 给我们”,但这文件有 2GB** → 过滤出相关的 30 秒时间窗口和特定协议,导出一个 5MB 的文件。 - **校验和损坏的 PCAP** → 一键批量修复所有校验和。Wireshark 不再会把每个数据包都标红。 - **从生产环境的流量中创建测试用例** → 截取真实的抓包记录,删除不需要的数据包,仅保留展示所需协议序列的包,导出最小测试用例。 - **SACK/DSACK 分析** → 过滤出特定的 TCP 连接,查看映射到序列号的选择性确认(Selective ACK)和重复 SACK。导出相关数据包以供文档记录。 ## 快速开始 1. 从 [hannes-software.com/pcap-surgery/download/](https://hannes-software.com/pcap-surgery/download/) 下载 2. 根据你的平台进行安装 3. 将 `.pcap` 或 `.pcapng` 文件拖入应用 4. 点击任意数据包以查看解码后的字段 5. 应用过滤器缩小范围(`tcp.port == 554`,`ip.addr == 10.0.0.5`) 6. 选择并删除不需要的数据包,或编辑字段 7. 文件 → 保存 以导出修改后的抓包文件 ## 下载 - 官方网站:https://hannes-software.com/pcap-surgery/download/ | 平台 | 状态 | |---|---| | Windows | 已支持 | | Linux | 已支持 | | macOS | 不可用 | ## 许可证与定价 **商业软件。提供免费的社区评估版。专业版授权:$19 终身买断。** 团队版:$49(含 3 个席位)。 完整定价:https://hannes-software.com/pricing/ ## 源代码 本代码库用于发布产品信息、文档、版本更新和问题追踪。本应用程序的源代码不包含在内。 ## 文档 - [新手入门](https://hannes-software.com/pcap-surgery/help/overview/) - [PCAP 完整分析指南](https://hannes-software.com/pcap-surgery/blogs/pcap-complete-analysis-guide/) - [40 多篇技术博客文章](https://hannes-software.com/pcap-surgery/blogs/) ## 路线图 - 完整支持 PCAPNG - 用于查看原始数据包字节的 Hex 编辑器 - 针对多个文件的批处理 - 数据包注入与重放 ## 反馈 提交一个 GitHub Issue。请包含:应用版本、操作系统,以及描述你试图执行的操作、实际发生的情况和你期望的结果。如果可能,请附上一份经过脱敏处理的抓包样本。 ## 隐私 本地优先。你的 PCAP 文件始终保留在你的计算机上。无遥测数据收集。无需上传。 由 [Hannes Software](https://hannes-software.com) 开发 —— 专注于桌面工具。一次买断。无需订阅。
标签:PCAP编辑器, 数据包处理, 桌面工具, 网络协议分析, 网络抓包