从 HTTP 流量导出文件
过滤http请求
发现get请求上传了两个文件
保存即可
也可以保存网页
点击保存
改文件名为html结尾以便于访问
请谨慎使用此方法。如果从 pcap 中提取恶意 HTML 代码并在 Web 浏览器中查看它,则 HTML 可能会调用恶意域,这就是为什么我们建议在隔离的测试环境中执行此操作。
从 SMB 流量导出文件
若从以下环境获取流量包
- Domain: cliffstone.net
- Network segment: 10.6.26.0 through 10.6.26.255 (10.6.26.0/24)
- Domain controller IP: 10.6.26.6
- Domain controller hostname: CLIFFSTONE-DC
- Segment gateway: 10.6.26.1
- Broadcast address: 10.6.26.255
- Windows client: QUINN-OFFICE-PC at 10.6.26.110
若Trickbot使用smb协议从10.6.26.110发送到10.6.26.6
我们要获恶意内容
注意只有【100%】标识的文件可以下载
这里我们找到主机名为10.6.26.6的内容进行下载
下载即可
从 SMTP 流量导出电子邮件
如果这些邮件中的任何一个是使用未加密的 SMTP 发送的,我们可以从流量的 pcap 中导出这些邮件。
过滤未加密smtp邮件
要找邮件就下载imf
IMF 代表 Internet Message Format被保存为文件扩展名为 .eml
发现大量含有勒索病毒的eml文件
打开后因该是这样的(我就算了)
从FTP流量导出文件
一些被感染的主机在感染期间会使用ftp服务,本地被窃取的文件会以ftp格式发出
过滤ftp流
下载即可
只有一些记录,并没有具体内容
过滤exe文件
ftp-data.command contains ".exe" and tcp.seq eq 1 
追踪流
显示原始数据
以exe格式保存
在虚拟环境用ubuntu查看
| 1 2 3 4 | Command: file q.exe Result: q.exe: PE32 executable (GUI) Intel 80386, for MS Windows Command: shasum -a 256 q.exe Result: ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q.exe |
