查询指定程序的包， 以下以微信为例子

获取微信的 PID

有两种方法

1. 直接在任务管理器查看

2. 使用cmd命令查看

命令：

bash
tasklist | findstr "WeChat"

根据 PID 查询程序使用的端口号

命令：

bash
netstat -ano | findstr "30360"

查询了几个相关的 PID 之后，发现只有第一个使用了端口

记下此处的 IP 10.244.90.35 和 端口号 60618

使用 wireshark 过滤

使用一下过滤语句筛选

sql
(ip.addr == 10.244.90.35) and (tcp.port == 60618)

重新开始捕获即可看到微信的报文