【实战学习】电子数据取证专题——网络数据分析溯源(下)

最新推荐文章于 2025-03-03 15:46:22 发布
置顶 最新推荐文章于 2025-03-03 15:46:22 发布
阅读量2.3k 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mozhe_/article/details/88549903
版权
本文通过一系列实战案例,介绍如何使用Wireshark进行电子数据取证,涉及WebShell操作、数据包过滤、邮件内容查找、端口扫描IP定位等,提升网络安全分析技能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网络数据分析溯源(新增用户的身份证号)

背景介绍

某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。

实训目标

1、掌握“Wireshark”的基本使用方法;

2、了解数据在网络中传输的过程和协议;

靶场地址:https://www.mozhe.cn/bug/detail/146

 

网络数据分析溯源(发布文章的IP地址)

背景介绍

近日工程师捕获到一段流量,发现有人从内网发布一篇文章到www.xwast.org上,请找出发布文章的IP。

实训目标

1、熟练使用Wireshark的常用命令;

2、了解数据的交互传输;

靶场地址:https://www.mozhe.cn/bug/detail/169

 

网络数据分析溯源(查找下载文件的内容)

背景介绍

某公司网络管理员抓取一段Wireshark数据包,发现某人从xxx.com网站上下载一压缩包,请找到压缩包内容。

实训目标

1、了解数据在网络传输中的过程;

2、了解文件怎样从网上下载;

3、掌握

最低0.47元/天 解锁文章
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
热门推荐
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
在线靶场-墨者-电子数据取证3星-网络数据分析溯源(查找邮件内容)
weixin_42079912的博客
08-09 1027
打开靶场网页,下载文件并解压。 根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。 于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
墨者 - 网络数据分析溯源(查找下载文件的内容)
吃肉唐僧的博客
07-23 1064
下载文件,根据题目要求寻找解压文件 猜测是zip文件,直接字符串搜索 找到一个key.zip,想着直接看他的数据,没有出现类似传输数据的字符 后来参考了链接:https://zhuanlan.zhihu.com/p/31512066 试着追踪该包的tcp流 发现key.jpg,直接以原始数据导出来,.zip后缀 解压可获得key的图片 ...
溯源取证 - 流量分析 中等难度,从零基础到精通,收藏这篇就够了!
最新发布
bdfcfff77fa的博客
03-03 827
使用工具:使用工具:BrimWiresharkStringsida pro知识点:通过本篇文章,学习ssh协议特点、学习流量导出文件、学习简单的逆向分析、学习hashcat的简单使用、学习查壳工具等公众号回复即可获取birm/networkminer工具以及此次案例使用的流量包!这里可以使用wireshark来看流量包,也可以使用Brim工具。
电子数据取证-流量分析(第1题)
asd158923328的博客
08-20 1661
靶场地址: https://www.mozhe.cn/bug/detail/empBa3krMllhN0ZBRFJpR29GOUIrUT09bW96aGUmozhe 根据题意 进入环境,下载文件,用wireshark打开,过滤http contains flag,找到flag 输入da73d88936010da1eeeb36e945ec4b97,获得key ...
网络数据分析溯源(新增用户的身份证号)
qq_36933272的博客
09-05 791
wireshark打开数据包 根据提示,有人利用了webshell操纵了数据库,所以用http.request.method ==“POST” && http contains "php"过滤 发现xiaoma.php,按长度降序排列,依次查看 猜测ZGVsZXRlIGZyb20gY2FyZGlkIHdoZXJlIHVzZXJpZCA9IDQyMDEwMjE5ODUwMzA3Mj...
在线靶场-墨者-电子数据取证4星-网络数据分析溯源(新增用户的身份证号)
weixin_42079912的博客
08-09 665
打开靶场网页,下载文件并解压。 使用Wireshark打开20.pcapng文件。 根据题目得知利用WebShell操作了数据库,于是我们可以过滤出http协议的数据。然后点击crtl + f,搜索php。搜索出来后发现有xiaoma.php。证明是通过xiaoma.php文件来操作数据库的。 搜索出来的信息中,找到数据库新增用户的身份证号的数据,使用base64解码 (解码网站:http:/...
实战学习电子数据取证专题——网络数据分析溯源(上)
mozhe_的博客
03-04 3636
电子数据取证专题-网络数据分析溯源 新题来了!!! 网络取证网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续地获取网络上发生的各种行为;能够完整地保存获取到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重现入侵现场。 网络数据分析溯源(爆破扫描的IP地址) 背景介绍 某公司安全工程师抓取一段Wireshark数据包,其中一IP对目标服务器做爆破扫描攻击扫...
网络攻防技术——溯源取证与分析实验
学习记录
02-28 7033
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实验结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
网络数据分析溯源(新增账户的用户名)
qq_36933272的博客
09-06 597
wireshark打开数据包 因为有人用webshell操作了数据库,所以应该会有上传木马,用http.request.method ==“POST” && http contains "php"过滤 发现新增了一行users,在下一个发现base64编码的字符串,猜测可能是sql语句 解码得到 显然用户名是zhangfei.9233,输入得到key ...
浅谈电子数字取证技术
2401_84466229的博客
10-15 1441
取证(Forensic)是科学知识在法律问题中的应用,或,对物证的科学分析。取证属于、用于或适用于法院法庭或公开讨论和辩论。
网络数据分析溯源(查找邮件地址)
qq_36933272的博客
09-05 1951
wireshark打开数据包 用电子邮件协议过滤,如(Simple Mail Transfer Protocol),然后搜索protonmail@qq.com 发现protonmail@qq.com接收数据的包 追踪tcp流,发现来源的邮箱 输入得到key ...
电子数据取证-流程与技术
忘忧的博客
09-03 8042
电子数据取证
在线靶场-墨者-电子数据取证1星-网络数据分析溯源(DNS服务器地址)
weixin_42079912的博客
08-09 675
打开靶场网页,下载文件并解压。 根据题意找出这个DNS服务器IP地址。 使用Wireshark打开12.pcapng这个文件。 (当应用过程需要将一个主机域名映射为IP地址时,就调用域名解析函数,解析函数将待转换的域名放在DNS请求中,以UDP报文方式发给本地域名服务器。本地的域名服务器查到域名后,将对应的IP地址放在应答报文中返回。) 要找到DNS服务器,在Wireshark中过滤出DNS协议...
wireshark进行网络取证
stillaway的博客
03-13 939
使用wireshark进行网络取证
一文读懂电子数据取证,鬼知道我经历了啥
2301_78398209的博客
04-19 1529
Windows事件日志中记录的信息中,关键要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件ID与操作系统版本有关,同类事件在不同操作系统中的事件ID不完全相同,最大的差异主要体现在第一版和第二版的事件日志中。目前在计算机取证过程中比较常用的工具是镜像工具和专业的取证软件,但很大多取证工具都是付费软件对于个人我们无法直接下载使用,但也有一些开源工具可以实现很好的使用效果。新型的物理存储,例如固态硬盘、手机芯片、闪存(包括 U盘、存储卡)等电介质。
【趣味学取证】如何成为一名优秀的电子数据取证人员?
效率源科技的博客
12-03 4091
基础完结篇 成为一名优秀的电子数据取证人员,应该是每个电子数据取证人员的终极梦想。但是如何成为一名优秀的电子数据取证人员?却是不少从事电子数据取证工作者的困惑。       诚然,以源妹初浅的行业认知和积累很难给大家太多可行的、有价值的分享,所以我们整理了一些行业大咖的分享和自己的心得,希望能给在电子数据取证这条路上奋力前行的朋友一些启迪和思考。 为什么会说到效哥的梦想呢?因为最...
电子数据取证:笔记本硬盘转换与分析指南
"电子数据取证办案速查手册,涵盖了从硬盘转换到现场...这份电子数据取证办案速查手册是一部全面的工具书,它为执法人员和网络安全专家提供了从现场处理到数据分析的一站式指导,确保了电子取证过程的专业性和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值