In dit artikel geef ik uitleg over het aanpassen van een capture file met behulp van HxD.
HxD is een freeware hex editor, die je hier kunt downloaden.

Ik gebruik in alle voorbeelden de capture file http.pcap.
De file http.pcap kun je hier downloaden.

Om de nodige decimale getallen te converteren naar hexadecimale getallen kun je de Microsoft Calculator in Scientific mode gebruiken of bijvoorbeeld een online conversie tabel.

IP adressen kun je converteren met deze online IP Address Converter.

Screenshot
Ik heb de capture file http.pcap geopend in Wireshark en in de hex editor.
In Wireshark Packet Details pane en Packet Bytes pane heb ik een Destination en Source MAC adres, een Source en Destination IP adresss en een Source en Destination port number gemarkeerd.Daarnaast heb ik dezelfde waardes in de hex editor gemarkeerd.

MAC adressen vervangen
Vervang het oude MAC adres: 00 50 56 EE 98 59 door het nieuwe MAC adres: 00 CA CE 00 FE 51.

Open http.pcap in de hex editor.

Ga naar
Search
Replace…
Search for: 00 50 56 EE 98 59
Replace with: 00 CA CE 00 FE 51
Datatype: select Hex-values
Klik Replace all

De gewijzigde MAC adressen worden in rood weergegeven.
 

Ga naar
File
Save as… en sla de file op als http1.pcap

Open file http1.pcap om de wijzigingen te bekijken.

IP adressen vervangen
Vervang het oude IP adres 192.168.108.128 door het nieuwe IP adres 10.0.0.128.
Als je het Source IP address 192.168.108.128 in het Packet Details pane selecteert, dan wordt de hexadecimale waarde in het Packet Bytes pane gehighlight:
decimaal 192.168.108.128 = hexadecimaal C0 A8 6C 80

Je kunt de online IP Address Converter gebruiken om het IP adres te converteren:
decimaal 10.0.0.128 = hexadecimaal 0A 00 00 80

Open de file http1.pcap in de hex editor.

Ga naar
Search
Replace…
Search for: C0 A8 6C 80
Replace with: 0A 00 00 80
Datatype: select Hex-values
Klik Replace all
 

Poortnummers vervangen
Vervang het oude poortnummer 1047 door het nieuwe poortnummer 5047.
Als je het poortnummer 1047 in het Packet Details pane selecteert, dan wordt de hexadecimale waarde in het Packet Bytes pane gehighlight:
decimaal 1047 = hexadecimasal 04 17.

Je kunt de Microsoft Calculator of de online conversion tabel om het nummer 5047 te converteren:
decimaal 5047 = hexadecimaal 13 B7.

Ga naar
Search
Replace…
Search for: 04 17
Replace with: 13 B7
Datatype: select Hex-values
Klik Replace all

Open de file http1.pcap om de wijzigingen te bekijken.
 

De IP adressen en de poortnummers zijn vervangen, maar de IP en TCP checksums zijn niet opnieuw berekend.

Note
Je ziet de checksum errors alleen, als checksum validation wordt toegepast.

Checksum validation activeren:
IP
Rechts-klikken op één van de IP protocol velden
Ga naar
Protocol Preferences
Enable: Validate the IPv4 checksum if possible.

TCP
Rechts-klikken op één van de TCP protocol velden
Ga naar
Protocol Preferences
Enable: Validate the TCP checksum if possible
 

Note
Je kunt met bittwiste de IP en TCP checksums in de file http1.pcap corrigeren
Je hoeft hiervoor alleen het volgende commando uit te voeren:
$ bittwiste -I http1.pcap -O http1_m1.pcap

Happy Modifying:)