温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

流量分析

发布时间:2020-02-27 06:17:55 来源:网络 阅读:464 作者:恩格尔 栏目:安全技术

分 析 报 告
数据包:

LAN SEGMENT属性:
IP范围:10.1.75.0/24(10.1.75.0到10.1.75.255)
网关IP:10.1.75.1
广播IP:10.1.75.255
域控制器(DC):PixelShine-DC,10.1.75.4
域名:pixelshine.net

需求:

说明这种感染的时间和日期。
确定受感染的Windows客户端的IP地址。
确定受感染的Windows客户端的主机名。
确定受感染Windows客户端的MAC地址。
确定受感染Windows客户端上使用的Windows用户帐户名。
确定受害者下载的Word文档的SHA256哈希值。
确定发送到受感染Windows客户端的第一个恶意软件二进制文件的SHA256哈希值。
确定10.1.75.4处的域控制器(DC)被感染的时间。
确定发送到受感染Windows客户端的第二个恶意软件二进制文件的SHA256哈希值(与radiance.png和table.png检索的文件相同)。
可以使用Wireshark从SMB流量中检索的可执行文件的两个文件哈希是什么?
确定Windows客户端感染的两类恶意软件。
确定DC感染的一个恶意软件系列。
确定受感染Windows客户端的公共IP地址。

使用WireShark“统计”下的“协议分级”,查看流量:
流量分析
使用科来查看协议
流量分析

说明这种感染的时间和日期。
###第一个文档;也就是word格式的文件下载好的时间
流量分析

确定受感染的Windows客户端的IP地址。
流量分析
IP地址:10.1.75.4

确定受感染的Windows客户端的主机名。
流量分析
主机名:rigsby-win-pc$
流量分析
确定受感染Windows客户端的MAC地址。
流量分析
MAC地址:84:2B:2B:D3:55:73

确定受感染Windows客户端上使用的Windows用户帐户名。
流量分析
用户账户名:jubson.rigsby

确定受害者下载的Word文档的SHA256哈希值。
流量分析
流量分析
流量分析

###导出对象,选择HTTP,保存在本地
###右键查看文件的文本校验
哈希值:1112203340b2d66f15b09046af6e776af6604343c1e733fe419fdf86f851caa3

确定发送到受感染Windows客户端的第一个恶意软件二进制文件的SHA256哈希值。
###使用科来点击协议查看HTTP,找到通过GET方式获得的资源
流量分析
###返回WireShark,过滤器搜索http,找到相关信息。
流量分析
###步骤同上,导出对象,保存到本地查看哈希值
哈希值: 0d7a4650cdc13d9217edb05f5b5c2c5528f8984dbbe3fbc85f4a48ae51846cc3

确定10.1.75.4处的域控制器(DC)被感染的时间。
流量分析
时间:2018年10月2日3点01分

确定发送到受感染Windows客户端的第二个恶意软件二进制文件的SHA256哈希值(与radiance.png和table.png检索的文件相同)。
流量分析
流量分析

哈希值: 28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
可以使用Wireshark从SMB流量中检索的可执行文件的两个文件哈希是什么?
##使用WireShark通过导出对象,选择SMB,查看文件哈希值
流量分析
哈希值:1)28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
2)cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560

确定Windows客户端感染的两类恶意软件。
宏类,木.马类型

确定DC感染的一个恶意软件系列。
(后门)木.马系列

确定受感染Windows客户端的公共IP地址。

流量分析
流量分析

公共IP地址:109.238.74.213

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI