一、题目问题

问题1：黑客的email名称

问题2：黑客向几人发送了钓鱼邮件

问题3：黑客传输的木马文件名

问题4：下载并运行了木马文件的人的email名称和ip地址，用“-”连接

问题5：黑客用于反弹shell的主机ip地址和监听端口，用“-”连接

问题6：黑客执行的命令

以上问题答案在分析中显示为绿色。

二、解题思路

黑客在源地址192.168.57.130上向192.168.57.143的三个人发送了一条邮件

追踪第1条tcp流量可以看到，邮件当前登录的用户是:_admin_

追踪第2条tcp流量可以看到，从原地址192.168.57.140已经发起登录申请，登录的用户为：guanyu@192.168.57.143

用户guanyu打开了相关邮件，跟进邮件提示，需要下载一个补丁程序：repair.exe

追踪第3条tcp流量可以看到用户zhangfei在192.168.57.139上打开了相关邮件

追踪第4条tcp流量可以看到用户liubei在192.168.57.137打开了相关邮件

第5条流量时已经有被控的指令被执行了，这里执行的是whoami命令

在该部分信息中存在着攻击者的IP、监听端口及受害者的相关信息，这里看到受害者的IP地址为192.168.57.140，所以可以确定，是账户guanyu下载并运行了病毒程序

三、题目附件

https://pan.baidu.com/s/13xNWmm4PeU02A6yonTgJuA?pwd=vale 提取码: vale