数据取证 - 1

A 集团的⽹络安全监控系统发现恶意份⼦正在实施⾼级可持续攻击（APT），并抓取了部分可疑流量包。请 您根据捕捉到的流量包，搜寻出⽹络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的⾏为。

1 分析并提交攻击者使⽤ FTP 连接⽬标服务器时使⽤的密码

过滤ftp流量，然后随便抓个包就可以看到密码了，如下直接看也有

flag{Root123}

2 分析并提交攻击者登⼊⽬标服务器 web 系统时使⽤的密码

登入web系统，那么我们就筛选http的流量，找到是md5加密的，后面的注释是解密flag{rebeyond}

3 分析并提交攻击者传⼊⽬标系统的⽂件名

可以看出来是文件上传文件上传内容是一句话木马，然后文件名字是shell.PHp

flag{shell.PHp}

4 分析并提交被攻击的服务器的计算机名称

这个要筛选的是udp的流量，刚开始从http追踪流追踪半天没结果，后来看wp是筛选udp的流量，然后这个后面的info信息就是计算机的名称了 flag{WIN-935BICNFFVK}