你目前正处于脱机状态,正在等待 Internet 重新连接

网络监视器捕获实用工具说明

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

概要
本文介绍如何使用网络监视器捕获实用工具 (Netcap.exe),您可以使用该工具在网络监视器中捕获网络通信。
更多信息
Netcap 只能通过命令提示符提供捕获功能;要打开所生成的捕获 (.cap) 文件,您必须使用完整的网络监视器界面。

Netcap 是随 Windows XP 安装光盘上的支持工具一起安装的。

有关如何安装这些工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306794 如何从 Windows XP 安装光盘安装支持工具
网络监视器随 Windows Server 产品和 Microsoft Systems Management Server (SMS) 一起提供。

Netcap 提供的捕获功能类似于 Windows Server 产品附带的网络监视器版本;但是,您必须在命令提示符处使用 Netcap。Netcap 安装网络监视器驱动程序并在您第一次运行 Netcap 命令时将其绑定到所有适配器。

Netcap 的完整语法如下所示:
用法:NetCap.exe [/B:#] [/T <Type> <Buffer> <HexOffset> <HexPattern>][/F:<filterfile.cf>] [/C:<capture file>] [/N:#][/L:HH:MM:SS] [/TCF:<Folder Name>]示例:NetCap /B:20 /N:2 /T BP 100 0a ff1f /F:d:\IPFilter.CF/B:# - 缓冲区,要获取的捕获大小,从 1MB 到 1000MB,默认值为 1MB/T   - 触发器,当达到给定的缓冲区和/或模式时停止捕获如果没有给定任何触发器,将在缓冲区变满时停止捕获使用“/T N”可以继续捕获,即使缓冲区已满缓冲区一旦变满,最早捕获的帧将被覆盖注意:使用“/T N”时,您必须按空格键来停止捕获<Type>      - “B”= 缓冲区,“P”= 模式,“BP”= 先缓冲区后模式,“PB”= 先模式后缓冲区“N”= 无触发器<Buffer>    - 与 B、BP、PB(非 P)一起使用时的缓冲区大小百分比“25”、“50”、“75”、“100”<HexOffset> - 与 P、BP、PB(非 B)一起使用时距帧起始处的十六进制偏移值<HexPattern>- 与 P、BP、PB(非 B)一起使用时要匹配的十六进制模式模式必须是偶数个十六进制数字/C:<Capture File> - 将临时捕获移动到完整路径和/或文件名可以是任何有效的本地或远程路径如果不指定“/C”,捕获文件将保留在默认的临时捕获文件夹中/F:<filterfile.cf>- 网络监视器 2.x 生成的捕获筛选器 (*.cf)/L:<HH:MM:SS>     - 给定时间内的捕获(最高值 99:99:99)注意:此选项将覆盖默认的 100% 触发器,除非同时指定“/T <trigger type>”/TCF:<Folder Name>- 永久性地更改临时捕获文件夹警告路径必须位于固定的本地硬盘驱动器上设置后,只需再次使用该开关即可更改目录/Remove           - 删除网络监视器驱动程序的 NetCap 实例/N:<#>            - 本计算机的 NIC 索引号					
要确定网络接口卡 (NIC) 的索引号,可以使用 netcap /? 命令。在语法信息下,可以查看计算机上安装的适配器的列表。在该列表中,您可以选择要捕获的适当适配器。例如,如果要捕获安装了下列适配器的计算机上的拨号连接的通信,请使用 NIC 索引 0:
请为这些适配器使用下列索引号:(default) 0 = ETHERNET (2C3D20524153) WAN (PPP/SLIP) Interface1 = ETHERNET (000039139635) Local Area Connection 22 = ETHERNET (0000390E118E) Local Area Connection					
下列命令是示例 Netcap 命令:
  • 要使用 10 MB 缓冲区捕获 NIC 1 上的通信,请使用下面的命令:
    netcap /n:1 /b:10
  • Netcap 通常在缓冲区已满时停止捕获。要使用“先进先出”(FIFO) 缓冲(这是网络监视器的默认设置)捕获通信,可以使用下面的命令:
    netcap /t n
    请注意,如果要停止捕获,请按空格键。
  • 要使用 1 MB FIFO 缓冲区捕获一小时的通信,请使用下面的命令:
    netcap /L:01:00:00
  • 要删除网络监视器驱动程序,请使用下面的命令:
    netcap /remove
使用 Netcap 创建的捕获文件默认情况下位于 UserProfile\Local Settings\Temp 文件夹中,其中 UserProfile 是用户配置文件的名称。您可以使用 /c/tcf 开关更改默认文件夹。

有关如何捕获网络通信或本文中使用的概念或术语的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
148942 如何使用网络监视器捕获网络通讯量
netmon
属性

文章 ID:310875 - 上次审阅时间:05/31/2004 09:10:00 - 修订版本: 1.0

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • kbinfo KB310875
反馈