问题比较多:
开启虚拟机,发现是一道流量分析题
桌面有个pcap文件,使用wireshark打开
找了半天没找到第一题答案,看了下提示
这里提示用Brim
简单百度了下Brim,Brim是一款由美国供应商Brim Security开发并开源的流量分析工具
打开Brim
把pcap包拖进去
翻译了下左边的信息栏,这儿有一个按类别的警告
点击后发现存在28条告警
右键点击新的搜索
任意双击一个结果
这里成功找到签名
第二题和第三题也可以直接填入,但是这有个坑,要用Defanged IP地址
第四题
第五题
简单分析了下
蒙对了
第六题
第七题
第八题
这里用的wireshark,随便找了个恶意IP的http包就可以了
第九题
wireshark做了个过滤,发现有两个IP下载了恶意msi文件
第十题
第十一题
另一个文件是同目录下arab.exe
第十二题
Comments NOTHING