关键字：抓包，windows，netsh trace，ETL，不安装任何软件

 

在windows系统上，不用安装任何软件，利用netsh进行抓包：

开始抓包：

netsh trace start capture=yes tracefile=c:\temp\mycap.etl

停止抓包：

netsh trace stop

 

ETL文件需要用微软的netmon或messager analyer才能打开。

要想用wireshark打开，需要下载一个etl2pcap.zip（github)，将etl转换成pcap，即可

https://github.com/microsoft/etl2pcapng/releases