您正在尝试做的事情在法医世界中被称为“雕刻”文件。我知道有很多现成的工具可以提取图像并在浏览器中实时显示，所以应该可以用视频来做到这一点。尽管文件访问限制（一个进程读取而另一个进程正在写入），但实时制作视频可能会更复杂。我想你可以保存到命名管道并将命名管道读入 VLC 之类的东西。如果视频播放器可以处理来自 Internet 的流式视频，但它不是始终如一的，那么它也应该能够从命名管道执行此操作。我想对于某些格式，它只有在你抓住蒸汽的开始时才会起作用，因为某些信息是如何打包和呈现的。

或者，如果目标只是从 YouTube 等下载。您可以只查看流量并查找 a .mp4、.flv等的请求，然后从同一服务器下载（如果是公开的并且您不关心留下脚）打印。这可能比进行视频文件的雕刻和重建更容易。

我想你可以通过wireshark过滤找到一种方法，然后将输出保存到文件/管道中。

我查找了一些雕刻工具，例如NetworkMiner，如果不实时查看，它们至少似乎提供了保存文件的能力：

NetworkMiner 可以通过解析 PCAP 文件或直接从网络嗅探流量来提取通过网络传输的文件和证书。此功能可用于提取和保存通过网络从 YouTube 等网站流式传输的媒体文件（如音频或视频文件）。支持的文件提取协议有 FTP、TFTP、HTTP、SMB 和 SMTP。

您可以自行探索其他一些链接以获取工具和文章：

• http://blogs.cisco.com/security/network-based-file-carving
• http://tcpxtract.sourceforge.net/
• http://www.behindthefirewalls.com/2014/01/extracting-files-from-network-traffic-pcap.html
• http://www.zer0trusion.com/2011/10/how-to-use-driftnet-with-arpspoof-by.html

就它们是否开始或停止而言，您会期望数据包将继续以恒定速率出现。视频播放器可能会在暂停/停止时停止下载视频，但更有可能会建立缓冲区。一些视频播放器可能会在暂停时发回某种类型的数据。另一个线索可能是视频播放器是否在暂停时显示广告，然后是否看到广告下载，这可能表明暂停操作。由于视频可能会继续下载，而暂停可能只是客户端注意到的，因此您不能保证仅使用被动方法进行检测，但在很多情况下，您可以根据其他活动做出有根据的猜测。

如果连接未加密，那么您可以嗅探视频并实时观看，前提是您有工具并且可以看到连接（通常是在目标网络上，但不一定）

您不一定知道他们何时停止和开始视频，因为大多数视频服务会缓冲流（即它们在您观看的地方之前下载）

如果连接未加密，但视频文件已加密或具有某些形式的 DRM，您可能能够截获数据，但无法查看视频。Netflix/Amazon Prime Video 等流媒体服务尤其如此。

您可以使用Wireshark之类的工具抓取数据包，但请注意，这将抓取特定端口上的所有流量，而不仅仅是视频内容。

我记得在《未经授权的访问：IT 安全团队的物理渗透测试》一书中看到了这个EasyCap 接收器。

如果范围内有 2.4 GHz 摄像头，这将访问它们的信号并通过设备的 USB 接口，允许您在计算机上的应用程序中重新广播他们的视频。