Summarize this content to 400 words in Persian Lang
https://tryhackme.com/r/room/tsharkchallengestwo
نام دامنه مخرب/مشکوک چیست؟پاسخ خود را با فرمت ناقص وارد کنید
tshark -r directory-curiosity.pcap -T fields -e http.host| awk NF | sort -r | uniq -c | sort -r
من یک لیست از همه آدرس ها دریافت کردم
اسکن آنها با virustotal برای جستجوی دامنه مخرب/مشکوک
1 نفر از آنها پرچم گذاری شدند
تعداد کل درخواست های HTTP ارسال شده به دامنه مخرب چقدر است؟
tshark -r directory-curiosity.pcap -Y ‘http.request’ -T fields -e http.host| awk NF | sort -r | uniq -c | sort -r
-Y ‘http.request’ برای دریافت لیست درخواست های HTTP
-e http.host فقط نشانی وب را نشان دهد
| awk NF | sort -r | uniq -c | sort -r تا زیبا شود
و خروجی یک لیست است، با تمام درخواست HTTP ما قبلا دامنه را می شناسیم و تعداد تکرارها نشان داده شده است.
آدرس IP مرتبط با دامنه مخرب چیست؟پاسخ خود را با فرمت ناقص وارد کنید.
shark -r directory-curiosity.pcap -Y ‘http.request’ -T fields -e ip -e http.host | sort“مشابه کد قبلی است اما اکنون اضافه می کنیم
-e ip برای نشان دادن آی پی مبدا و مقصد
(ما می توانیم به صورت دستی defang کنیم یا از cyberchef استفاده کنیم)(XX.XX.XX.XX -> XX[.]XX[.]XX[.]XX)
اطلاعات سرور دامنه مشکوک چیست؟
tshark -r directory-curiosity.pcap -z follow,tcp,ascii,0 -qدر این صورت، با دنبال کردن جریان tcp 0، می توانیم تمام اطلاعات سرور را دریافت کنیم
“اولین جریان TCP” را در “ASCII” دنبال کنید.خروجی را به دقت بررسی کنید.تعداد فایل های لیست شده چقدر است؟
tshark -r directory-curiosity.pcap -z follow,tcp,ascii,0 -qهمان کد کار قبلی
خروجی کد html را به ما می دهد
کد html را کپی کنید و پیش نمایش پیش نمایش را ببینید لیستی از فایل ها را به ما بدهید
نام فایل اولین فایل چیست؟پاسخ خود را با فرمت ناقص وارد کنید.
با استفاده از کد html قبلی
همه اشیاء ترافیک HTTP را صادر کنید.نام فایل اجرایی دانلود شده چیست؟پاسخ خود را با فرمت ناقص وارد کنید.
با استفاده از کد html قبلی
مقدار SHA256 فایل مخرب چقدر است؟
tshark -r directory-curiosity.pcap –export-objects http,./http/sha256sum vlauto.exe
برای صادرات اشیاء http
sha256sum [file]
برای بدست آوردن هش sha256
مقدار SHA256 فایل را در VirtusTotal جستجو کنید.مقدار “PEiD Packer” چیست؟
یک جستجوی ویروس توتال کافی است
مقدار SHA256 فایل را در VirtusTotal جستجو کنید.”Lastline Sandbox” این را به عنوان چه پرچم گذاری می کند؟
یک جستجوی ویروس توتال کافی است
https://tryhackme.com/r/room/tsharkchallengestwo
نام دامنه مخرب/مشکوک چیست؟
پاسخ خود را با فرمت ناقص وارد کنید
tshark -r directory-curiosity.pcap -T fields -e http.host| awk NF | sort -r | uniq -c | sort -r
- من یک لیست از همه آدرس ها دریافت کردم
- اسکن آنها با virustotal برای جستجوی دامنه مخرب/مشکوک
- 1 نفر از آنها پرچم گذاری شدند
تعداد کل درخواست های HTTP ارسال شده به دامنه مخرب چقدر است؟
tshark -r directory-curiosity.pcap -Y 'http.request' -T fields -e http.host| awk NF | sort -r | uniq -c | sort -r
-
-Y 'http.request'برای دریافت لیست درخواست های HTTP -
-e http.hostفقط نشانی وب را نشان دهد -
| awk NF | sort -r | uniq -c | sort -rتا زیبا شود - و خروجی یک لیست است، با تمام درخواست HTTP ما قبلا دامنه را می شناسیم و تعداد تکرارها نشان داده شده است.
آدرس IP مرتبط با دامنه مخرب چیست؟
پاسخ خود را با فرمت ناقص وارد کنید.
shark -r directory-curiosity.pcap -Y 'http.request' -T fields -e ip -e http.host | sort“
مشابه کد قبلی است اما اکنون اضافه می کنیم
- -e ip برای نشان دادن آی پی مبدا و مقصد
(ما می توانیم به صورت دستی defang کنیم یا از cyberchef استفاده کنیم)
(XX.XX.XX.XX -> XX[.]XX[.]XX[.]XX)
اطلاعات سرور دامنه مشکوک چیست؟
tshark -r directory-curiosity.pcap -z follow,tcp,ascii,0 -q
در این صورت، با دنبال کردن جریان tcp 0، می توانیم تمام اطلاعات سرور را دریافت کنیم
“اولین جریان TCP” را در “ASCII” دنبال کنید.
خروجی را به دقت بررسی کنید.
تعداد فایل های لیست شده چقدر است؟
tshark -r directory-curiosity.pcap -z follow,tcp,ascii,0 -q
همان کد کار قبلی
- خروجی کد html را به ما می دهد
- کد html را کپی کنید و پیش نمایش پیش نمایش را ببینید لیستی از فایل ها را به ما بدهید
نام فایل اولین فایل چیست؟
پاسخ خود را با فرمت ناقص وارد کنید.
با استفاده از کد html قبلی
همه اشیاء ترافیک HTTP را صادر کنید.
نام فایل اجرایی دانلود شده چیست؟
پاسخ خود را با فرمت ناقص وارد کنید.
با استفاده از کد html قبلی
مقدار SHA256 فایل مخرب چقدر است؟
tshark -r directory-curiosity.pcap --export-objects http,./http/
sha256sum vlauto.exe
- برای صادرات اشیاء http
sha256sum [file] - برای بدست آوردن هش sha256
مقدار SHA256 فایل را در VirtusTotal جستجو کنید.
مقدار “PEiD Packer” چیست؟
- یک جستجوی ویروس توتال کافی است
مقدار SHA256 فایل را در VirtusTotal جستجو کنید.
“Lastline Sandbox” این را به عنوان چه پرچم گذاری می کند؟
- یک جستجوی ویروس توتال کافی است
