Файловый архив студентов. Файловый архив студентов.
1298 вузов, 5041 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Защита операционных систем сетевых устройств
Файл:
Лабораторная работа №9.docx
Скачиваний:
11
Добавлен:
10.08.2024
Размер:
1.04 Mб
Скачать
►Содержание►

Часть 2. Извлечение загруженного файла из pcap

  1. В этом четвертом пакете в файле nimda.download.pcap обратите внимание, что HTTP-запрос был создан из адреса 209.165.200.235 на адрес 209.165.202.133. В столбце Info также показано, что на самом деле это запрос GET для файла.

  2. С выбранным пакетом запроса GET перейдите к File > Export Objects > HTTP (Файл > Экспортировать объекты > HTTP) из менюWireshark (рис.25).

Рисунок 25 – Экспортирование объектов

  1. Wireshark будет отображать все объекты HTTP в потоке TCP, которые содержат запрос GET. В данном случае в данных перехвата присутствует файл W32. Nimda.Amm.exe. Файл отобразится в течение нескольких секунд (рис.26).

Рисунок 26 – Отображение загруженного файла

  1. В окне HTTP object list (Список объектов HTTP) выберите файл W32. Nimda.Amm.exe и щелкните Save As (Сохранить как) в нижней части экрана.

  2. Нажимайте кнопку со стрелкой влево, пока не появится кнопка Home (Домой). Щелкните Home (Домой) и выберите папку analyst (не вкладку analyst). Сохраните файл здесь.

  3. Вернитесь в окно терминала и убедитесь, что файл был сохранен. Перейдите в папку /home/analyst и выведите список всех файлов в папке, используя команду ls -l (рис.27).

Рисунок 27 – Выбранный файл был успешно сохранён

  1. Команда file предоставляет информацию о типе файла. Используйте команду file для получения дополнительной информации о вредоносном ПО, как показано ниже (рис.28).

Рисунок 28 – Просмотр информации о файле

Вывод:

В ходе выполнения лабораторной работы изучили работу межсетевого экрана. Для этого добавили правило, запрещающее соединение с вредоносным сервером. Убедились, что созданное правило выполняет свою функцию. Во второй части работы познакомились с нормализацией сеток времени в файле журнала, на примере двух журналов. В третьей части работы ознакомились с регулярными выражениями. Для этого изучили курс Regex One и заполнили две таблицы: первая таблица содержит описание метасимволов, вторая таблица содержит выражения, работу которых необходимо было описать. В заключительной части работы изучили готовый файл pcap – через отслеживание потоков получили информацию о загруженном файле. С помощью экспортирования объектов смогли загрузить этот файл на своё устройство.

Санкт-Петербург 2023 г

Соседние файлы в предмете Защита операционных систем сетевых устройств
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности