Yale的博客

通过该实验了解恶意流量取证分析方法，主要涉及torrent流量的知识，包括tracer，bittorrent,Deluge等。背景：你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然，也有一些torrent流量是合法的。我们需要分析分析这个数据包，解答下列问题：10.0.0.201的mac地址...

通过该实验了解恶意流量取证分析基本方法，本次实验主要涉及：Upatre,Dyre,SSL证书、STUN流量、mx记录等。为了得到host name,先直接过滤出nbns看看当然是用dhcp也是可以的，为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤我们这里通过端口过滤接下来过滤出http请求看看注意到一些http流量并不是标准端口，并且有些...

通过该实验了解恶意流量取证分析基本方法，本次实验主要涉及：Feista ExploitKit,所利用的cve漏洞的poc特征提取，根据分析文章解密恶意文件等知识。这次实验给出了一个数据包。我们直接打开可以看到有nbns的流量自然就先过滤出nbns的流量来得到host name等信息通过nbns流量可以分析出ip为10.3.162.105对应的host name为OWEN...

通过该实验通过分析多个eml文件，并根据附件文件进行分析，结合在线分析引擎给出的流量特征结合比对掌握分析技术，本次训练还涉及到邮件钓鱼、邮件伪造、js恶意脚本等知识点。给出使用给出了大量邮件附件，请分析判断哪封邮件感染了Marcus的电脑，哪封邮件感染了Marion的电脑先来看MARCUS的先使用http.request过滤可以看到主要有两个可疑的地方：185.165...

通过该实验学会分析eml文件并从中提取出附件进行分析，包括根据生成的hash进行搜索等，掌握wireshark的关键过滤语法包括过滤tcp syn包、过滤重传包、过滤dns query包等，有意识培养取证分析的思维和思路。根据本次实验所给材料，请分别给出从两个数据包分析出的细节，包括：机器的host name,ip,mac地址相关的邮件的信息邮件附件的信息本次给...

通过该实验了解恶意流量分析训练的基本技能，本次实验主要涉及包括：ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis，钓鱼网页等。本次流量分析，需要回答以下问题： 活动发送的时间，日期 哪台主机发生了什么 indicatirs(指标)，包括（ip...

通过该实验了解恶意流量分析的基本技能，本次实验涉及包括：从数据包导出文件，hash计算、virurtotal使用、trickbot恶意软件，bootp，kerberos等。本次任务需要你查出主机受感染的时间、主机的信息（ip，mac，hostname ,user account name），感染什么类型的恶意软件，感染源，受感染的指标（ip,域名，端口，url，文件hash等...

通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作，同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。任务：检查pcap数据包查找出哪台主机感染了什么恶意软件。首先我们要确定局域网内几台主机Wireshark加载之后，点击上方菜单统计-》ipv4 statistics-》all address从结果中可以...

了解使用wireshark进行恶意流量分析，培养流量分析的思维和能力，本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。试根据给出的数据包等文件，分析解答如下问题Q1:用户的姓名？Q2：用户windows机器的主机名？Q3:用户windows主机的ip地址？Q4:用户...

通过该实验了解使用wireshark进行恶意流量分析，本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。环境：局域网段：172.16.3.0/24（172.16.3.0 到 172.16.3.255）域：eggnogsoup.com域控：172.16.3.2-EggNogSoup-DC网关：172.16.3.1广播地址：172.16....

通过该实验使用wireshark进行恶意流量分析，主要涉及知识点包括IOC,键盘记录器木马，ftp协议等。场景：局域网段范围：10.0.0.0/24(10.0.0.0 到 10.0.0.255)域： beguilesoft.com域控：10.0.0.10 - BeguileSoft-DC局域网网关：10.0.0.1局域网广播地址：10.0.0.255任...