Как использовать tshark для сохранения одного направления (от источника) потока tcp в двоичный файл

При анализе файла pcap в wireshark вы можете использовать меню Analyze/Follow/TCPStream, чтобы изолировать данные уровня приложения. После заполнения окна TCPStream вы можете удалить одну сторону диалога и сохранить данные в необработанном формате в файл.

Я хотел бы выполнить то же извлечение данных, описанное выше, из командной строки, чтобы я мог обработать каталог, полный файлов pcap.

Я попытался tshark:

D:> tshark -r путь \ к \infile.pcap -2 -R "ip.src eq XXX.XXX.XXX.XXX и tcp.srcport eq XXXX" -z "следовать,tcp,raw,0" -w путь \ к \outfile.raw

Вывод, напечатанный на стандартный вывод, кажется тем, что я хочу; просто поток полезных данных tcp без информации заголовка Ethernet/IP/TCP. Тем не менее, когда я зашифровал выходной файл, он все еще содержит заголовки сетевого уровня. На самом деле, я могу открыть выходной файл в Wireshark.

Дополнительно,

D:> tshark -r путь \ к \infile.pcap -2 -R "ip.src eq XXX.XXX.XXX.XXX и tcp.srcport eq XXXX" -z "следовать,tcp,raw,0" -w путь \to\outfile.raw > другой \file.raw

а также

D:> tshark -r путь \ к \infile.pcap -2 -R "ip.src eq XXX.XXX.XXX.XXX и tcp.srcport eq XXXX" -z "следовать,tcp,raw,0" > другой \file.raw

просто сохраняет отформатированный вывод utf-8 в файл, а не необработанные байты.

Кто-нибудь знает, какие опции использовать с tshark, чтобы сохранить поток байтов полезных нагрузок tcp (с одной стороны диалога) в файл?