2023 年 1 月的 Unit 42 Wireshark 测验有以下问题:
- 恶意流量是什么时候开始的?
- 受害者的IP地址是什么?
- 受害者的MAC地址是什么?
- 受害者的 Windows 主机名是什么?
- 受害者的 Windows 用户帐户名称是什么?
- 受害者的主机有多少 RAM?
- 受害者的主机使用什么类型的 CPU?
- 受害者主机的公共IP地址是什么?
- 恶意软件窃取了哪种类型的帐户登录数据?
1(2)、恶意流量什么时候开始的: (受害者的IP地址是什么?)
直接找http请求的数据 四条 看到第一条的ip:192.168.1.27 计算机内部的ip 应该就是受害者的ip地址了 点开报文查看
时间为:2023-01-05 22:51 UTC
- 恶意流量是什么时候开始的? 2023-01-05 22:51 UTC
- 受害者的IP地址是什么?192.168.1.27
3、受害者的MAC地址是什么? bc:ea:fa:22:74:fb
同样可以在报文中找到mac地址(通常48位二进制数表示,以16进制来显示)
4、受害者的 Windows 主机名是什么? DESKTOP-WIN11PC
某些 pcap 文件中,NBNS 或 SMB 流量提供受害者的 Windows 主机名 可以用到过滤器 输入nbns or smb
在报文中发现了类似主机名字的东西 应该就是这个了DESKTOP-WIN11PC
5、受害者的 Windows 用户帐户名称是什么?windows11user
这个一开始不知道怎么去找了,去看了wp提示 剩下的信息全都在未加密的smtp被盗数据里面那我们直接搜索smtp去寻找
一条一条翻下来发现右边信息可能有需要的 我们直接追踪
用户信息就出来了 windows11user
6、受害者的主机有多少 RAM? 32GBram同样可以在报文中找到 32165.83就是32gb
7、受害者的主机使用什么类型的 CPU?core i5-13600k
8、受害者主机的公共IP地址是什么?173.66.46.112
9、恶意软件窃取了哪种类型的帐户登录数据?电子邮箱