看起来您应该能够使用 Wireshark 或 tshark 使用基于 HTTP Cookie 的过滤器轻松地从您的 pcaps 中提取 cookie。

根据过滤器协议参考，您应该能够将 http.cookie 作为字符串匹配：http: //www.wireshark.org/docs/dfref/h/http.html

有关过滤器语法（包括运算符）的更多一般信息在这里： http ://wiki.wireshark.org/DisplayFilters

我会在你的 pcap 上启动 Wireshark 并使用带有已知字符串的 Find Packet，然后使用右键菜单让 Wireshark 为你制作过滤器（如手册第 6.2.2 节中所述。http://www.wireshark.org/docs/wsug_html_chunked/ChWorkDisplayPopUpSection.html上的“数据包列表”窗格

然后，您可以在带有 tshark 的控制台中使用该过滤器（复制和粘贴）来快速搜索大型 pcap 或简单地编写搜索脚本。

最好的解决方案可能是将 PCAP 文件加载到NetworkMiner 中。所有 cookie 将由 NetworkMiner 自动提取并显示在“凭据”选项卡上。

这已经在 Wireshark-users 邮件列表中提出：http : //www.wireshark.org/lists/wireshark-users/201209/msg00054.html