Wireshark分析实验：一次病毒入侵报文的分析

一、正常报文排查

一次抓包，可能会有几万个报文，熟练地使用过滤功能，可以快速定位到需要分析的内容。在这里过滤http报文，直接对http报文进行分析。

第一个http是访问。

由于无法判断URL的安全性，可以根据URL查询威胁情报库，看看是否为恶意URL。根据云沙箱分析为安全。基本可以判断是安全的网站。

也可以查看返回包的报文，通过返回结果判断。这个报文返回的只有一句Microsoft NCSI，不像是恶意网站。

直接访问网站，网页也确实只有一句话。该操作建议在沙箱环境执行，以免连接到恶意网站。

一个人的知识是有限，因此我们需要借助网络的力量，如百度等；通过在网上查询，可发现该网站是微软用来测试网络连接情况的，证明其为安全的访问。

由于我们是要对病毒入侵进行分析，应该先从包含文件传输的报文开始。因此可直接看由外网进入内网的报文，查找包含文件传输的报文。

通过排查发现第一个文件传输报文，报文中包含了一个2018_11Details_zur_Transaktion.doc文件

查看对应的请求包，发现文件下载的URL:

根据访问地址，暂时无法判断是否为恶意网站。在这里可以借助URL威胁情报库确定。根据云沙箱分析该URL是可疑网站。

可以直接在文件传输包中使用导出分级字节流的功能导出报文中的文件。

把导出的文件放到云沙箱上进行检测。发现文件为恶意文件Firmenkunden。

阅读检测结果，分析恶意文件的行为。