分 析 報(bào) 告
數(shù)據(jù)包：

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：空間域名、虛擬空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、靖邊網(wǎng)站維護(hù)、網(wǎng)站推廣。

LAN SEGMENT屬性：
IP范圍：10.1.75.0/24（10.1.75.0到10.1.75.255）
網(wǎng)關(guān)IP：10.1.75.1
廣播IP：10.1.75.255
域控制器（DC）：PixelShine-DC，10.1.75.4
域名：pixelshine.net

需求：

說明這種感染的時(shí)間和日期。
確定受感染的Windows客戶端的IP地址。
確定受感染的Windows客戶端的主機(jī)名。
確定受感染W(wǎng)indows客戶端的MAC地址。
確定受感染W(wǎng)indows客戶端上使用的Windows用戶帳戶名。
確定受害者下載的Word文檔的SHA256哈希值。
確定發(fā)送到受感染W(wǎng)indows客戶端的第一個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值。
確定10.1.75.4處的域控制器（DC）被感染的時(shí)間。
確定發(fā)送到受感染W(wǎng)indows客戶端的第二個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值（與radiance.png和table.png檢索的文件相同）。
可以使用Wireshark從SMB流量中檢索的可執(zhí)行文件的兩個(gè)文件哈希是什么？
確定Windows客戶端感染的兩類惡意軟件。
確定DC感染的一個(gè)惡意軟件系列。
確定受感染W(wǎng)indows客戶端的公共IP地址。

使用WireShark“統(tǒng)計(jì)”下的“協(xié)議分級(jí)”，查看流量：

使用科來查看協(xié)議

說明這種感染的時(shí)間和日期。
###第一個(gè)文檔；也就是word格式的文件下載好的時(shí)間

確定受感染的Windows客戶端的IP地址。

IP地址：10.1.75.4

確定受感染的Windows客戶端的主機(jī)名。

主機(jī)名：rigsby-win-pc$

確定受感染W(wǎng)indows客戶端的MAC地址。

MAC地址：84:2B:2B:D3:55:73

確定受感染W(wǎng)indows客戶端上使用的Windows用戶帳戶名。

用戶賬戶名：jubson.rigsby

確定受害者下載的Word文檔的SHA256哈希值。

###導(dǎo)出對(duì)象，選擇HTTP，保存在本地
###右鍵查看文件的文本校驗(yàn)
哈希值：1112203340b2d66f15b09046af6e776af6604343c1e733fe419fdf86f851caa3

確定發(fā)送到受感染W(wǎng)indows客戶端的第一個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值。
###使用科來點(diǎn)擊協(xié)議查看HTTP，找到通過GET方式獲得的資源

###返回WireShark，過濾器搜索http，找到相關(guān)信息。

###步驟同上，導(dǎo)出對(duì)象，保存到本地查看哈希值
哈希值： 0d7a4650cdc13d9217edb05f5b5c2c5528f8984dbbe3fbc85f4a48ae51846cc3

確定10.1.75.4處的域控制器（DC）被感染的時(shí)間。

時(shí)間：2018年10月2日3點(diǎn)01分

確定發(fā)送到受感染W(wǎng)indows客戶端的第二個(gè)惡意軟件二進(jìn)制文件的SHA256哈希值（與radiance.png和table.png檢索的文件相同）。

哈希值： 28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
可以使用Wireshark從SMB流量中檢索的可執(zhí)行文件的兩個(gè)文件哈希是什么？
##使用WireShark通過導(dǎo)出對(duì)象，選擇SMB，查看文件哈希值

哈希值：1）28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
2）cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560

確定Windows客戶端感染的兩類惡意軟件。
宏類，木.馬類型

確定DC感染的一個(gè)惡意軟件系列。
（后門）木.馬系列

確定受感染W(wǎng)indows客戶端的公共IP地址。

公共IP地址：109.238.74.213

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享標(biāo)題：流量分析-創(chuàng)新互聯(lián)
文章分享：http://weahome.cn/article/csshjh.html