本文通过Wireshark进行流量分析,详细讲述了如何利用Wireshark的统计功能发现大包,追踪流以获取RAR文件,并解决文件编码、头部多余信息、解密密码等问题,最终揭示隐藏在加密文件后的内存dump文件。
流量分析2
题目:1.pcap
题解
这个文件不小,初步推断这次的会话会有文件传输里面应该会有文件,扔进binwalk里试了一下,没有什么东西。只能老老实实的做流量分析了。
wireshark中一个功能——统计,可以对包的大小、协议进行归类并统计。
统计->conversation,并对内容大小进行排序
可以看到有两个比较大的包,选择一个包并点击下面的Follow Stream...追踪流。第一个包里面没有什么实用的信息,让我们来看看第二个包
这个包里面有几个比较重要的信息,第一个就是这个包里包含这一个RAR文件,这个文件我们需要导出。
导出文件:
先改变编码格式,在wireshark中将一些不可见字符都以点的形式显示,这样导出的文件会报错无法打开。所以我们要将ASCII转换为原始数据后稍等片刻,等数据都转换完成后·再另存为RAR文件。
导出文件后我们还是打不开,这是因为这个文件头带了一些不该带的东西,所以我们要用winhex或者010Reditor手动将他们删去
修改完成后,我们再打开文件发现这竟然是个加密文件而且这不是一个伪加密文件,所以我们还要回去找一下密码
yo=%40eval%01%
最低0.47元/天 解锁文章
扫一扫
535
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
