Q1 捕获有多少个数据包?
翻到最底下看No 一共捕获4003个数据包
答案:4003
Q2 第一个数据包是在什么时候捕获的?
双击第一个数据包,查看物理层,应该是UTC标准时间
答案:2019-04-10 20:37:07 UTC
Q3捕获的持续时间是多久?
直接查看最后一个包,然后和Q2上面的时间进行相减
答案:01:03:41
Q4 链路级别最活跃的计算机是什么?
统计 -> 会话 中查看流量请求
答案:00:08:02:1c:47:ae
Q5 链路级别最活跃系统的 NIC 的制造商?
通过Q4得到的MAC地址,
在网络上查询
答案:Hewlett-Packard
Q6 在链路级别制造最活跃计算机的 NIC 的公司的总部在哪里?
通过网络查询得到帕洛阿尔托
答案:PaloAlto
Q7 该组织使用专用寻址和网络掩码 /24。捕获涉及组织中的多少台计算机?
在流量中,内网主机出现了4个IP地址,其中10.4.10.255 是网关,不属于计算机,所以只有3个IP也就是3台计算机
答案:3
Q8 网络级别最活跃的计算机的名称是什么?
直接过滤dhcp流量,查看132和255.255.255.255 主机名一般都在这里
答案:Beijing-5cd1-PC
Q9 组织的 DNS 服务器的 IP 是什么?
通过过滤DNS流量发现只有10.4.10.4
答案:10.4.10.4
Q10 受害者在数据包 204 中询问的域是什么?
找到204个数据包,
答案:proforma-invoices.com
Q11 上一个问题中域名的IP是什么?
看206返回包,132通过查询到这个域名对应的IP然后又进行web访问
答案:217.182.138.150
Q12 指明上一节中的 IP 所属的国家/地区。
互联网查询
答案:France
Q13 受害者的电脑运行什么操作系统?
通过过滤http协议查看请求,
答案:Windows NT 6.1
Q14 会计师下载的恶意文件叫什么名字?
这种看一眼就知道的就不多说了
答案:tkraw_Protected99.exe
Q15 下载文件的 md5 哈希值是多少?
文件 -> 导出对象-> HTTP 导出来,丢到Linux里
使用Linux自带的md5sum 进行获取md5
答案:71826ba081e303866ce2a2534491a2f7
Q16 什么软件运行托管恶意软件的 Web 服务器?
找半天没懂那个才是,直接加上strings大法,发现只有一个这个,别的都看着像正常的,没理解这个服务怎么就是恶意托管的了
答案:LiteSpeed
Q17
受害者计算机的公共IP是什么?
答案:173.66.146.112
Q18
被盗信息发送到哪个国家/地区的电子邮件服务器?
电子邮箱的话就过滤smtp流量,只有132和另一个公网IP
答案:United States
Q19
分析信息的第一次提取。什么软件运行将被盗数据发送到的电子邮件服务器?
这一题找半天,看不懂,看了官方的提示
答案是 Exim 4.91 没搞懂为什么是这个
答案:Exim 4.91
Q20
被盗信息发送到哪个电子邮件帐户?
很明显
答案:sales.del@macwinlogistics.in
Q21 恶意软件用于发送电子邮件的密码是什么?
可以看到有明显的login 数据,解码是一个邮箱,把下面那一串base64解码就是密码了
答案:Sales@23
Q22 哪个恶意软件变种泄露了数据?
将包中的数据进行解码,HawkEye Keylogger 中译过来是鹰眼键盘记录器
答案:Reborn v9
Q23 什么是 bankofamerica 访问凭据?(用户名:密码)
答案:roman.mcguire:P@ssw0rd$
Q24 收集的数据每多少分钟就会被泄露一次?
先查看第一个smtp包的发送时间,然后以此往下看
答案呼之欲出
10