「エラー:STATUS_NO_SUCH_FILE」を返すすべてのSMB応答を取得するフィルターをWiresharkで作成しようとしています。また、フィルタリングされたパケットの前にパケットを取得できるようにしたいと思います。次に例を示します。
No. Time Source Destination Proto. Length Info
26482 24.832997 192.168.1.62 192.168.1.4 SMB 288 Trans2 Request, QUERY_PATH_INFO, Query File Basic Info, Path: \1_CLIENTS\CLIENTS\ACME INC
26483 24.833122 192.168.1.4 192.168.1.62 SMB 158 Trans2 Response, QUERY_PATH_INFO
26484 24.833232 192.168.1.62 192.168.1.4 SMB 306 Trans2 Request, FIND_FIRST2, Pattern: \1_CLIENTS\CLIENTS\ACME INC\<.AC_
26485 24.833909 192.168.1.4 192.168.1.62 SMB 126 Trans2 Response, FIND_FIRST2, Error: STATUS_NO_SUCH_FILE
次のフィルターは、「STATUS_NO_SUCH_FILE」パケットを取得します。
((ip.src == 192.168.1.4) && (ip.dst == 192.168.1.62)) || ((ip.src == 192.168.1.62) && (ip.dst == 192.168.1.4)) && (smb.nt_status == 0xC000000F)
ただし、その前のパケットも取得したいので、どのファイルパスが見つからなかったかを確認します。