Saludos,
- Google funciona sobre TLS (https) así que los paquetes estarán cifrados y no podrá "ver" nada. Solo se pueden "ver" los paquetes sin cifrar como DNS, HTTP, FTP, etc.
- Wiresharp permite especificarle un fichero
SSLKEYLOGFILE el cual contiene una cache de las TLS Keys utilizadas para cifrar los paquetes TLS.
- Por defecto Chrome y Firefox permiten especificar precisamente este fichero, para hacerlo tienes que crear una variable de entorno de nombre:
SSLKEYLOGFILE cuyo contenido será la ruta donde quieras que esté tu fichero, en mi caso lo configuraré en mi escritorio. Puedes abrir una línea de comandos (CMD) y copiar/pegar lo siguiente:
-- Primero cierra Firefox o Chrome
SetX SSLKeyLogFile %UserProfile%\Desktop\sslkeys.txt
-- Luego abres Firefox o Chrome (de preferencia con un bloqueador de anuncios como uBlock Origin para evitar tantas peticiones de publicidad o rastreo) y pones a WireShark a capturar tu data.
-- Ahora ve a WireShark > Edit >Preferences > Protocols > TLS > Pre-Master Secret Log File y ahí buscas y elijes tu fichero
sslkeys.txt-- Entonces debes de poder ver los TLS decifrados con nombre HTTP2, puedes buscar con Ctrl + F, seleccionar String y tipear tu palabra a buscar.
- Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como
https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark