恶意流量分析训练七

最新推荐文章于 2024-08-19 18:00:00 发布
原创 最新推荐文章于 2024-08-19 18:00:00 发布 · 2.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

通过该实验学会分析eml文件并从中提取出附件进行分析,包括根据生成的hash进行搜索等,掌握wireshark的关键过滤语法包括过滤tcp syn包、过滤重传包、过滤dns query包等,有意识培养取证分析的思维和思路。

 

根据本次实验所给材料,请分别给出从两个数据包分析出的细节,包括:

机器的host name,ip,mac地址

相关的邮件的信息

邮件附件的信息

 

本次给出了eml文件,eML文件是将邮件归档后生成的文件,保留着原来的HTML格式和标题

所需只需专门的客户顿用于查看,推荐使用thunderbird

使用如下命令安装即可

给出了两个eml文件

选中1814这个,右键-》使用其他应用打开,然后选择thunderbird

点击select即选中打开

打开后界面如下所示

可以看到下方有一个附件

可以将其保存

得到一个压缩文件

将其解压

得到一个exe可执行文件

计算这个文件的sha256 hash

这里有个常识一定要注意:

在分析恶意文件时千万不要把恶意软件提交到virustotal等其他在线分析网站上,而是使用该文件的hash去搜索。因为如果我们在应急响应或者在其他作为防御方的情况下,如果我们提交的是恶意软件,恶意软件的制作者可以从virustotal等网站上知道某人提交了该软件,也就是说攻击

最低0.47元/天 解锁文章
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 4398
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
恶意流量分析训练
Yale的博客
02-04 6097
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
Wireshark使用教程
weixin_67828227的博客
01-25 1415
打开wireshark,点击左上角的图标开始捕获,在浏览器中访问wireshark官网,访问成功后返回wireshark,点击左上角图案停止捕获。对于应用不能直接使用ip地址等信息去查找,首先需要到任务管理器中找到该应用,右键点击选择“转到详细信息”,找到其的PID。有一个点的RTT时间相对较高,并且其的包的编号也是155747,可以看出即为该点出现问题,可能在tcp网络中出现堵塞。选择想要的类型比如“TCP”,点击“分组”,可以将所有连接按照其数据包的从多到少进行排序。选择右上角“统计”->“会话”
wireshark基本使用方式
weixin_42153616的博客
05-20 817
dns.qry.name=="www.douyin.com" dns.reqs.name=="www.douyin.com" 2)协议过滤 比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。 tcp,只显示TCP协议的数据包列表 http,只查看HTTP协议的数据包列表 icmp,只显示ICMP协议的数据包列表 (3) ip过滤 ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表 ip.dst==192.168.1.104
计算机网络知识全面讲解:抓包分析DNS协议
weixin_70374410的博客
07-18 1778
过滤器中输入“dns.qry.name==www.91xue?t.com”,单击按钮应用。在命令提示符处输入“p?ngwww.91xue?reshark抓包工具,选中访问Internet的网卡。显示过滤器,如图1-54所示。可以看到第26个数据包是DNS域名解析。图1-55所示的第37个数据包是DNS服务器响应报文,可以看到其。的首选DNS服务器,这就是在设置DNS客户端,如图1-53所示。中有解析到的IP地址219.148.36.48。请求报文,报文中的字段是用DNS协议定?...
DNS
m0_67589996的博客
01-05 988
迭代查询:DNS客户端向本地DNS服务器发送DNS查询请求,如果本地DNS服务器没有缓存相应的DNS记录,则会向上级DNS服务器发送迭代查询请求,上级DNS服务器返回一个指向下一级DNS服务器的指针,本地DNS服务器再向下一级DNS服务器发送查询请求,直到找到相应的DNS记录并返回给客户端。Client缓存解析的结果。递归查询:DNS客户端首先向本地DNS服务器发送DNS查询请求,如果本地DNS服务器没有缓存相应的DNS记录,则会向上级DNS服务器发送递归查询请求,直到找到相应的DNS记录并返回给客户端。
恶意流量分析训练
Yale的博客
02-05 2796
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
恶意流量分析训练
Yale的博客
02-05 2035
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
恶意流量分析训练
Yale的博客
02-05 2418
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
收藏,Wireshark最好用的抓包命令都在这了
最新发布
08-19 1080
为了满足特定的需求,有时需要创建自定义的过滤器表达式。这可以通过。
eml文件解析
05-22
C语言的解析,只支持BASE64解码,其他编码没有写
windows下面的域名管理
李义星
04-14 741
在window下面 C:\Windows\System32\drivers\etc有一个hosts文件。 原始内容: # Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains...
WireShark_过滤语法
wpces的博客
10-15 499
/* WireShark 过滤语法 */ 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.po...
Wireshark 分析 DNS 异常
maimang1001的专栏
01-17 2474
wireshark 实用技巧 | 网络学习笔记https://imroc.cc/network/capture/wireshark/ 分析 DNS 异常 找出没有收到响应的 dns 请求 dns && (dns.flags.response == 0) && ! dns.response_in 根据 dns 请求 id 过滤 dns.id == 0xff0b 找出慢响应 超过 100 ms 的响应: dns.flags.rcode eq 0 and
4.2 DNS服务进阶
ZZULI_Miriam的博客
06-23 595
DNS 转发全局转发    对非本机所负责解析区域的请求,全转发给指定的服务器。    在转发服务器的主配置文件 /etc/named.conf 中设置全局转发options {                                                 #在全局配置中设置 listen-on port 53 { localhost; }; listen-on-v6 por...
邮件导出后.eml格式内容解析和批量解析方法
Java萌新
10-17 2646
1、单个.eml解析,直接将文件拖到下载的EmlParse.exe上即可,会在EmlParse.exe所在的目录中自动生成解析后的内容。2、批量.eml解析,在EmlParse.exe所在文件夹地址栏中输入cmd,cmd窗口中输入。D:/BBBB代表.eml文件解析后存放的位置。D:/AAAA代表.eml文件存放的位置。
vs 运行 asp.net mvc 项目/程序 启动慢、运行慢、进去等待长、调试慢,我的解决方案
MyNameIsXiaoLai的博客
04-30 1831
希望对你们有帮助!
eml格式说明
weixin_42213176的博客
07-15 7536
eml解析 1.eml格式说明 eml文件是遵循遵循RFC822及其后续扩展的格式文件,RFC中定义的邮件结构包括两个部分,即邮件头和邮件体,两者由一个空行隔开。 邮件头包括几个部分:主题、创建者、收信人以及邮件创建日期,邮件体内容类型、邮件体内容传输编码方式等。邮件体部分包括正文和附件,结构较复杂。 2.邮件头 邮件头中不允许出现空行, 在邮件头中,有很多从RFC 822沿用的域名,MIME也增加了一些。常见的标准域名和含义如下: 域名 含义 添加者 Received 传输路径 各级邮件服务器 Retur
攻防世界 MISC 高手进阶 tunnel
qq_47875210的博客
08-31 1448
由于ipv4和ipv6发送的都是一样的流量,所以我们把过滤器改一下,我们过滤出ipv4的。1.要熟悉DNS的流量,会使用pyshark,或者其他方式解析流量,比如tshark命令。,发现这个DNS的请求很像Base64,A是ipv4记录,AAAA是ipv6记录。这次我们拿到的全部都是A记录的了,写个代码把Base64字符串拿出来。文件头,这不纯纯的ZIP格式,所以写代码拿到这个ZIP文件。拿到第一行补全后的Base64字符串解码,获得16进制,,并拿到了Base64隐写的结果,符号代码,或者看我的博文,..
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值