今天是Forensics的最後一篇,兩星的題目還有兩題還沒解出來,若之後有解出來會在更新上來,那接下來的是密碼學,會從最傳統的密碼介紹到一些對稱式、非對稱式的密碼,敬請期待~
題目提供了兩個檔案,第一個是異常的流量圖,如下
第二個是文字檔
大部份是廢話這邊就長話短說,內容是說收到一些異常的流量,可能是有人對我們的網站做一些事情,那我們要找出來異常流量是在哪個時候,且每個間隔是15分鐘,那我們就執行題目給的nc 指令來分析看看到底是哪裡有奇怪的流量
他這邊的流量是隨機的,所以這邊講解的以這張圖為準,那其實有個很快的分析方式,就是直接找超過11000的,並對照到上面的那張圖,以這個流量來說,1 5 7 8 這四個時間的流量都是異常的,在當時的流量都沒有達到11000以上,所以推測應該是這幾個時間有人想要做一些不法的事情
答對後就可以拿到Flag了
這題雖然只是比較簡單的比對和分析而已,在現實世界中對於這個異常流量是要注意的,因為有可能有人正在對你的網站蠢蠢欲動,若是沒做出相對應的措施,可能會造成很大的損失!
這題給了一個.pcap檔,前幾天也有一題是要分析封包,就用wireshark打開他吧
提示有提到name of the domain 很直覺的就想到DNS,直接在wireshark搜尋dns
這邊的確搜尋到兩筆封包
使用前幾天有說過怎麼查看封包內容,右鍵 -> Follow -> UDP stream
這題雖然叫惡意程式商店,不過他提供的檔案是安全的可以放心下載
這題一樣給了類似第一題的流量圖以及一個文字檔
文字檔一樣大部份是廢話可以看看就好,最重要的是最後一段,攻擊者發布的惡意軟體可能會有很多種版本,且檔案的hash都不一樣,不過jmp
add
的數量是很相似的,那我們就執行題目給的nc看看
他問說根據這張圖有多少個攻擊者,圖片上有五個顏色就是代表五個攻擊者的意思,紅、綠、橙、藍、紫
這裡就回答5就可以進到下一個問題
這裡問說哪個檔案與 ebaf5ccd
是同一個攻擊者所做的,那這裡就根據剛剛那份文件所提到的,不同的版本但是jmp
和 add
指令個數是相似的,這邊就找一個跟ebaf5ccd
最相似的
可以看到第8個,jmp是13 add是19 非常的相似,記得這裡要輸入hash的名稱不是編號!
這些資訊每次也都是隨機的,只要抓到同樣的解題技巧就可以解出來囉!
Forensics 的二星題目沒有很困難,只要看的懂英文和圖表基本上就很容易解出來,不過另外兩題目前還沒解出來,就請自行練習看看~