分 析 報(bào) 告
數(shù)據(jù)包：

網(wǎng)站的建設(shè)創(chuàng)新互聯(lián)公司專注網(wǎng)站定制,經(jīng)驗(yàn)豐富,不做模板,主營(yíng)網(wǎng)站定制開發(fā).小程序定制開發(fā),H5頁(yè)面制作!給你煥然一新的設(shè)計(jì)體驗(yàn)!已為廣告設(shè)計(jì)等企業(yè)提供專業(yè)服務(wù)。

LAN SEGMENT屬性：
IP范圍：10.1.75.0/24（10.1.75.0到10.1.75.255）
網(wǎng)關(guān)IP：10.1.75.1
廣播IP：10.1.75.255
域控制器（DC）：PixelShine-DC，10.1.75.4
域名：pixelshine.net

需求：

說(shuō)明這種感染的時(shí)間和日期。
確定受感染的Windows客戶端的IP地址。
確定受感染的Windows客戶端的主機(jī)名。
確定受感染W(wǎng)indows客戶端的MAC地址。
確定受感染W(wǎng)indows客戶端上使用的Windows用戶帳戶名。
確定受害者下載的Word文檔的SHA256哈希值。
確定發(fā)送到受感染W(wǎng)indows客戶端的第一個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值。
確定10.1.75.4處的域控制器（DC）被感染的時(shí)間。
確定發(fā)送到受感染W(wǎng)indows客戶端的第二個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值（與radiance.png和table.png檢索的文件相同）。
可以使用Wireshark從SMB流量中檢索的可執(zhí)行文件的兩個(gè)文件哈希是什么？
確定Windows客戶端感染的兩類惡意軟件。
確定DC感染的一個(gè)惡意軟件系列。
確定受感染W(wǎng)indows客戶端的公共IP地址。

使用WireShark“統(tǒng)計(jì)”下的“協(xié)議分級(jí)”，查看流量：

使用科來(lái)查看協(xié)議

說(shuō)明這種感染的時(shí)間和日期。
###第一個(gè)文檔；也就是word格式的文件下載好的時(shí)間

確定受感染的Windows客戶端的IP地址。

IP地址：10.1.75.4

確定受感染的Windows客戶端的主機(jī)名。

主機(jī)名：rigsby-win-pc$

確定受感染W(wǎng)indows客戶端的MAC地址。

MAC地址：84:2B:2B:D3:55:73

確定受感染W(wǎng)indows客戶端上使用的Windows用戶帳戶名。

用戶賬戶名：jubson.rigsby

確定受害者下載的Word文檔的SHA256哈希值。

###導(dǎo)出對(duì)象，選擇HTTP，保存在本地
###右鍵查看文件的文本校驗(yàn)
哈希值：1112203340b2d66f15b09046af6e776af6604343c1e733fe419fdf86f851caa3

確定發(fā)送到受感染W(wǎng)indows客戶端的第一個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值。
###使用科來(lái)點(diǎn)擊協(xié)議查看HTTP，找到通過(guò)GET方式獲得的資源

###返回WireShark，過(guò)濾器搜索http，找到相關(guān)信息。

###步驟同上，導(dǎo)出對(duì)象，保存到本地查看哈希值
哈希值： 0d7a4650cdc13d9217edb05f5b5c2c5528f8984dbbe3fbc85f4a48ae51846cc3

確定10.1.75.4處的域控制器（DC）被感染的時(shí)間。

時(shí)間：2018年10月2日3點(diǎn)01分

確定發(fā)送到受感染W(wǎng)indows客戶端的第二個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值（與radiance.png和table.png檢索的文件相同）。

哈希值： 28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
可以使用Wireshark從SMB流量中檢索的可執(zhí)行文件的兩個(gè)文件哈希是什么？
##使用WireShark通過(guò)導(dǎo)出對(duì)象，選擇SMB，查看文件哈希值

哈希值：1）28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
2）cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560

確定Windows客戶端感染的兩類惡意軟件。
宏類，木.馬類型

確定DC感染的一個(gè)惡意軟件系列。
（后門）木.馬系列

確定受感染W(wǎng)indows客戶端的公共IP地址。

公共IP地址：109.238.74.213

名稱欄目：流量分析
路徑分享：http://www.chinadenli.net/article10/ggiido.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、網(wǎng)站設(shè)計(jì)公司、域名注冊(cè)、、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)