您好,登錄后才能下訂單哦!
分 析 報 告
數據包:
LAN SEGMENT屬性:
IP范圍:10.1.75.0/24(10.1.75.0到10.1.75.255)
網關IP:10.1.75.1
廣播IP:10.1.75.255
域控制器(DC):PixelShine-DC,10.1.75.4
域名:pixelshine.net
需求:
說明這種感染的時間和日期。
確定受感染的Windows客戶端的IP地址。
確定受感染的Windows客戶端的主機名。
確定受感染Windows客戶端的MAC地址。
確定受感染Windows客戶端上使用的Windows用戶帳戶名。
確定受害者下載的Word文檔的SHA256哈希值。
確定發送到受感染Windows客戶端的第一個惡意軟件二進制文件的SHA256哈希值。
確定10.1.75.4處的域控制器(DC)被感染的時間。
確定發送到受感染Windows客戶端的第二個惡意軟件二進制文件的SHA256哈希值(與radiance.png和table.png檢索的文件相同)。
可以使用Wireshark從SMB流量中檢索的可執行文件的兩個文件哈希是什么?
確定Windows客戶端感染的兩類惡意軟件。
確定DC感染的一個惡意軟件系列。
確定受感染Windows客戶端的公共IP地址。
使用WireShark“統計”下的“協議分級”,查看流量:
使用科來查看協議
說明這種感染的時間和日期。
###第一個文檔;也就是word格式的文件下載好的時間
確定受感染的Windows客戶端的IP地址。
IP地址:10.1.75.4
確定受感染的Windows客戶端的主機名。
主機名:rigsby-win-pc$
確定受感染Windows客戶端的MAC地址。
MAC地址:84:2B:2B:D3:55:73
確定受感染Windows客戶端上使用的Windows用戶帳戶名。
用戶賬戶名:jubson.rigsby
確定受害者下載的Word文檔的SHA256哈希值。
###導出對象,選擇HTTP,保存在本地
###右鍵查看文件的文本校驗
哈希值:1112203340b2d66f15b09046af6e776af6604343c1e733fe419fdf86f851caa3
確定發送到受感染Windows客戶端的第一個惡意軟件二進制文件的SHA256哈希值。
###使用科來點擊協議查看HTTP,找到通過GET方式獲得的資源
###返回WireShark,過濾器搜索http,找到相關信息。
###步驟同上,導出對象,保存到本地查看哈希值
哈希值: 0d7a4650cdc13d9217edb05f5b5c2c5528f8984dbbe3fbc85f4a48ae51846cc3
確定10.1.75.4處的域控制器(DC)被感染的時間。
時間:2018年10月2日3點01分
確定發送到受感染Windows客戶端的第二個惡意軟件二進制文件的SHA256哈希值(與radiance.png和table.png檢索的文件相同)。
哈希值: 28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
可以使用Wireshark從SMB流量中檢索的可執行文件的兩個文件哈希是什么?
##使用WireShark通過導出對象,選擇SMB,查看文件哈希值
哈希值:1)28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
2)cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560
確定Windows客戶端感染的兩類惡意軟件。
宏類,木.馬類型
確定DC感染的一個惡意軟件系列。
(后門)木.馬系列
確定受感染Windows客戶端的公共IP地址。
公共IP地址:109.238.74.213
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。