wireshark数据流分析学习日记day3-从 Pcap 导出对象

最新推荐文章于 2024-06-04 14:34:05 发布
最新推荐文章于 2024-06-04 14:34:05 发布
阅读量562 收藏 8
点赞数 5
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XYpangSJ/article/details/137127149
版权

从 HTTP 流量导出文件

过滤http请求

发现get请求上传了两个文件

保存即可

 也可以保存网页

点击保存

 改文件名为html结尾以便于访问

请谨慎使用此方法。如果从 pcap 中提取恶意 HTML 代码并在 Web 浏览器中查看它,则 HTML 可能会调用恶意域,这就是为什么我们建议在隔离的测试环境中执行此操作。

从 SMB 流量导出文件

若从以下环境获取流量包

  • Domain: cliffstone.net
  • Network segment: 10.6.26.0 through 10.6.26.255 (10.6.26.0/24)
  • Domain controller IP: 10.6.26.6
  • Domain controller hostname: CLIFFSTONE-DC
  • Segment gateway: 10.6.26.1
  • Broadcast address: 10.6.26.255
  • Windows client: QUINN-OFFICE-PC at 10.6.26.110

若Trickbot使用smb协议从10.6.26.110发送到10.6.26.6

我们要获恶意内容

注意只有【100%】标识的文件可以下载

这里我们找到主机名为10.6.26.6的内容进行下载

 

 下载即可

从 SMTP 流量导出电子邮件

如果这些邮件中的任何一个是使用未加密的 SMTP 发送的,我们可以从流量的 pcap 中导出这些邮件。

过滤未加密smtp邮件

要找邮件就下载imf

IMF 代表 Internet Message Format被保存为文件扩展名为 .eml 

发现大量含有勒索病毒的eml文件

 

打开后因该是这样的(我就算了)

 从FTP流量导出文件

一些被感染的主机在感染期间会使用ftp服务,本地被窃取的文件会以ftp格式发出

过滤ftp流

 

下载即可

只有一些记录,并没有具体内容

 过滤exe文件

ftp-data.command contains ".exe" and tcp.seq eq 1

 

 追踪流

显示原始数据

以exe格式保存

 在虚拟环境用ubuntu查看

1

2

3

4

Command: file q.exe

Result: q.exe: PE32 executable (GUI) Intel 80386, for MS Windows

Command: shasum -a 256 q.exe

Result: ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q.exe

XYpangSJ
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Wireshark教程:从Pcap导出对象
nuan444979的博客
09-26 7187
Wireshark教程:导出流量对象
wireshark】筛选指定流量导出pcap文件
weixin_44457220的博客
06-07 911
使用wireshark获取特定流量包
Wireshark 基础-thm
weixin_45626840的博客
04-21 1708
thm的Wireshark介绍
【电子取证】Wireshark教程:从流量包中导出文件
最新发布
longxintec的博客
06-04 1651
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
Wireshark】预览及提取流量包中的图片等格式的文件
weixin_73668144的博客
07-11 3487
wireshark
WireShark数据对象导出分析方法
Fly_鹏程万里
10-20 4616
网络安全是当今互联网时代中不可忽视的问题,随着网络技术的不断发展,网络攻击手段也变得越来越复杂和隐蔽,因此网络安全工作者需要具备一定的技术能力和工具使用能力,其中WireShark是一款广泛使用的网络协议分析工具,可以帮助用户深入了解网络数据包的传输过程,从而提高网络安全防护的能力。本文将介绍WireShark对象导出功能,帮助读者更好地利用这一功能进行网络数据包分析和安全防护工作。
网络数据流逆向分析“潜逃之谜.pcap文件
09-12
利用 WinHex、Wireshark 等工具,逆向分析“潜逃之谜.pcap文件,根据 案件描述找到案件调查线索,理解并掌握基于 Wireshark 的网络数据流分析方法。
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
这个名为"Wireshark-win64-2.9.0"的版本是专为64位Windows操作系统设计的,提供了对网络数据包的深度捕获和分析功能。 1. **Wireshark介绍**: Wireshark是开源软件,它的核心功能是对网络流量进行实时捕获和离线...
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
总之,通过对TCP/IP协议的深入理解和使用Wireshark进行数据包分析,不仅可以学习到网络通信的基础知识,还能对具体应用如微信的工作机制有更直观的认识。这对于网络工程师、安全专家以及对网络技术感兴趣的初学者来...
ACE-PCAP-导出:构建为用作ACEmulator的世界数据库数据的PCAP数据
02-04
Wireshark是一款常用的PCAP数据查看工具,可以用来解析和分析这些数据包,帮助开发者理解网络通信的过程。 ACEmulator是一个开源的服务器模拟器,主要用于模拟《亚瑟王的召唤》(Asheron's Call)这款网络游戏。它...
Wireshark保存文档转为纯文本数据
07-04
保存wireshark抓包的数据为txt文本,然后更改cpp文件中的文件路劲并运行
wireshark导出h264文件
01-05
使用抓包工具抓取rtp数据,通过wireshark脚本将抓取的rtp数据解析出h264数据并保存成文件,可用于视频开发的调试工具。
使用wireshark导出rtpdump文件步骤
11-17
使用Wireshark导出符合http://www.cs.columbia.edu/irt/software/rtptools/所指定的rtp流的步骤
wireshark数据分析
04-04
Wireshark是一款强大的网络封包分析软件,常用于数据分析、测试工具和数据挖掘等领域。它能够捕获网络上的数据包并深入解析,帮助用户理解网络通信的细节,排查网络问题,进行安全审计以及性能优化。在本教程中,...
pcap流量中提取文件的五种方法
热门推荐
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据中的文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件,提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
MISC:流量包取证(pcap文件修复、协议分析、数据提取)
小哈里的博客
09-21 4404
鼠标协议:每一个数据包的数据区有四个字节,第一个字节代表按键,当取 0x00 时,代表没有按键、为 0x01 时,代表按左键,为 0x02 时,代表当前按键为右键。第二个字节可以看成是一个 signed byte 类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。HTTPs = HTTP + SSL / TLS. 服务端和客户端的信息传输都会通过 TLS 进行加密,所以传输的数据都是加密后的数据。但是,如果采用主动模式,那么数据传输端口就是 20;
如何提取pcap文件中的TCP流
weixin_42593130的博客
02-15 857
PCAP文件是一种网络数据包捕获文件格式,它可以记录计算机在网络上发送和接收的数据包。要从PCAP文件中提取TCP流,可以使用网络流量分析工具,如Wireshark或tcpdump。 以下是使用Wireshark提取TCP流的步骤: 打开Wireshark,然后通过“文件”菜单选择“打开”选项打开PCAP文件。 在Wireshark窗口的主界面上,选择“统计”菜单,然后选择“流量”选项。 在“流...
使用CICFlowMeter 实现对pcap文件的特征提取【教程】
a_student_2020的博客
02-06 2305
使用CICFlowMeter 实现对pcap文件的特征提取【教程】
从实践中学习wireshark数据分析pdf
09-08
学习Wireshark数据分析PDF是一种从实践中学习的有效方法。通过实践,我们能够深入了解Wireshark工具的功能和应用,并通过分析实际网络数据流量来提高我们的技能。 首先,我们可以利用PDF中提供的示例数据集进行实践。这些示例数据集通常包含了各种网络通信场景,如HTTP、TCP、UDP等,我们可以通过Wireshark工具逐步分析这些通信过程。我们可以学习如何捕获数据包、过滤数据包、查看数据包的详细信息等基本操作,并通过对数据包中的不同协议头部和载荷进行分析,了解网络通信的运行机制。 除了示例数据,我们还可以通过Wireshark工具来分析我们自己的网络数据流量。例如,我们可以在家庭网络中使用Wireshark来捕获和分析我们的网络通信。通过观察我们的设备与路由器之间的交互,我们可以检测到网络瓶颈、识别潜在的安全问题,甚至可以分析我们的设备与外部服务器进行的通信。 在实践中,我们还可以通过搜索和查阅Wireshark的文档、论坛和教程来获取更多关于数据分析的指导。Wireshark拥有庞大的社区支持,我们可以从其他用户的经验和分享中获得宝贵的学习资源。此外,我们还可以参加Wireshark的培训课程或网络分析竞赛,通过与其他专业人士交流和竞争来提高我们的技能水平。 总之,通过实践中学习Wireshark数据分析PDF,我们不仅可以掌握数据分析的基本技能,还能够应用这些技能解决实际的网络问题。通过实践,我们能够获得更深入和全面的知识和经验,提高我们在网络分析领域的专业能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值