今天是Forensics的最後一篇，兩星的題目還有兩題還沒解出來，若之後有解出來會在更新上來，那接下來的是密碼學，會從最傳統的密碼介紹到一些對稱式、非對稱式的密碼，敬請期待～

題目提供了兩個檔案，第一個是異常的流量圖，如下

第二個是文字檔

大部份是廢話這邊就長話短說，內容是說收到一些異常的流量，可能是有人對我們的網站做一些事情，那我們要找出來異常流量是在哪個時候，且每個間隔是15分鐘，那我們就執行題目給的nc 指令來分析看看到底是哪裡有奇怪的流量

他這邊的流量是隨機的，所以這邊講解的以這張圖為準，那其實有個很快的分析方式，就是直接找超過11000的，並對照到上面的那張圖，以這個流量來說，1 5 7 8 這四個時間的流量都是異常的，在當時的流量都沒有達到11000以上，所以推測應該是這幾個時間有人想要做一些不法的事情

答對後就可以拿到Flag了

這題雖然只是比較簡單的比對和分析而已，在現實世界中對於這個異常流量是要注意的，因為有可能有人正在對你的網站蠢蠢欲動，若是沒做出相對應的措施，可能會造成很大的損失！

這題給了一個.pcap檔，前幾天也有一題是要分析封包，就用wireshark打開他吧

提示有提到name of the domain 很直覺的就想到DNS，直接在wireshark搜尋dns

這邊的確搜尋到兩筆封包

使用前幾天有說過怎麼查看封包內容，右鍵 -> Follow -> UDP stream

這題雖然叫惡意程式商店，不過他提供的檔案是安全的可以放心下載

這題一樣給了類似第一題的流量圖以及一個文字檔

文字檔一樣大部份是廢話可以看看就好，最重要的是最後一段，攻擊者發布的惡意軟體可能會有很多種版本，且檔案的hash都不一樣，不過jmp add 的數量是很相似的，那我們就執行題目給的nc看看

他問說根據這張圖有多少個攻擊者，圖片上有五個顏色就是代表五個攻擊者的意思，紅、綠、橙、藍、紫

這裡就回答5就可以進到下一個問題

這裡問說哪個檔案與 ebaf5ccd 是同一個攻擊者所做的，那這裡就根據剛剛那份文件所提到的，不同的版本但是jmp 和 add指令個數是相似的，這邊就找一個跟ebaf5ccd最相似的

可以看到第8個，jmp是13 add是19 非常的相似，記得這裡要輸入hash的名稱不是編號！
這些資訊每次也都是隨機的，只要抓到同樣的解題技巧就可以解出來囉！

Forensics 的二星題目沒有很困難，只要看的懂英文和圖表基本上就很容易解出來，不過另外兩題目前還沒解出來，就請自行練習看看～