TryHackMe-Warzone 1

发布于 2022-11-01  296 次阅读


问题比较多:


开启虚拟机,发现是一道流量分析题
桌面有个pcap文件,使用wireshark打开

找了半天没找到第一题答案,看了下提示

这里提示用Brim
简单百度了下Brim,Brim是一款由美国供应商Brim Security开发并开源的流量分析工具
打开Brim
把pcap包拖进去

翻译了下左边的信息栏,这儿有一个按类别的警告

点击后发现存在28条告警

右键点击新的搜索

任意双击一个结果

这里成功找到签名


第二题和第三题也可以直接填入,但是这有个坑,要用Defanged IP地址

第四题


第五题
简单分析了下

蒙对了

第六题

第七题

第八题
这里用的wireshark,随便找了个恶意IP的http包就可以了

第九题
wireshark做了个过滤,发现有两个IP下载了恶意msi文件


第十题


第十一题

另一个文件是同目录下arab.exe
第十二题

届ける言葉を今は育ててる
最后更新于 2022-11-01