被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142
二、打开.pcap文件的流程
2.1 用root账号登录虚拟机
原因:避免wireshark奇怪报错
2.2 查看文件类型和使用命令行计算SHA256哈希值
2.2.1在终端执行 file命令查看文件类型
file malware.pcap
2.2.2计算该文件的SHA256
shasum -a 256 malware.pcap
得到哈希值为68bdbde81313644728076c1f1dd4c3106d08a3bb428269d3866ee29520f2fb62
额外知识:在windows里使用SHA256计算哈希值
CertUtil -hashfile "I:\virtual_machine_linux\virtual_machine\ubuntu_polyos\Ubantu_polyos-disk1.vmdk" SHA256
把文件拖到"" 内会自动出现路径
2.3 用wireshark打开.pcap文件
2.3.1 什么是.pcap文件
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
2.3.2 在linux中打开.pcap文件
直接进入文件夹,找到目标文件,然后选择用wireshark打开
2.2
在导出http报文之前,先停止抓包
三、 安装snort
使用以下代码安装snort
sudo apt-get update
sudo apt-get install -y snort
出现这个界面,是选择监听的网络块,保持默认,使用方向键,然后点击OK
使用以下代码查看snort是否安装成功
snort -V
可以看到snort安装成功
四、 重点关注malware.pcap中的HTTP流量
参考以下链接学习如何导出可疑流量,然后放入检查网站检测是否是病毒
Wireshark Tutorial: Exporting Objects from a Pcap
4.1 筛选出http的请求流量
4.2 导出http的请求流量
4.3 选择全部导出
4.4 选择保存位置
4.5 通过VirusTotal鉴别文件是否是病毒
网站:VirusTotal
可以看到众多病毒检测网站都认为这个文件是一个病毒文件
4.6 回过头来再分析
这个时候我们看到,看似他是一个.pdf,实则是一个可执行文件
它的SHA256值:f25a780095730701efac67e9d5b84bc289afea56d96d8aff8a44af69ae606404
五、使用Snort来筛选病毒
5.1 将规则保存为一个文本文件,例如example.rules,并放在snort的规则目录中,例如/etc/snort/rules/
5.2 在snort的配置文件中,例如/etc/snort/snort.conf,添加一行来引用规则文件,例如include $RULE_PATH/example.rules
5.3 重启snort服务或重新加载snort配置,以使规则生效。
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
2356
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
