Часть 2. Извлечение загруженного файла из pcap

1. В этом четвертом пакете в файле nimda.download.pcap обратите внимание, что HTTP-запрос был создан из адреса 209.165.200.235 на адрес 209.165.202.133. В столбце Info также показано, что на самом деле это запрос GET для файла.

2. С выбранным пакетом запроса GET перейдите к File > Export Objects > HTTP (Файл > Экспортировать объекты > HTTP) из меню Wireshark (рис.25).

Рисунок 25 – Экспортирование объектов

3. Wireshark будет отображать все объекты HTTP в потоке TCP, которые содержат запрос GET. В данном случае в данных перехвата присутствует файл W32. Nimda.Amm.exe. Файл отобразится в течение нескольких секунд (рис.26).

Рисунок 26 – Отображение загруженного файла

4. В окне HTTP object list (Список объектов HTTP) выберите файл W32. Nimda.Amm.exe и щелкните Save As (Сохранить как) в нижней части экрана.

5. Нажимайте кнопку со стрелкой влево, пока не появится кнопка Home (Домой). Щелкните Home (Домой) и выберите папку analyst (не вкладку analyst). Сохраните файл здесь.

6. Вернитесь в окно терминала и убедитесь, что файл был сохранен. Перейдите в папку /home/analyst и выведите список всех файлов в папке, используя команду ls -l (рис.27).

Рисунок 27 – Выбранный файл был успешно сохранён

7. Команда file предоставляет информацию о типе файла. Используйте команду file для получения дополнительной информации о вредоносном ПО, как показано ниже (рис.28).

Рисунок 28 – Просмотр информации о файле

Вывод:

Лабораторная работа охватила практическое изучение межсетевого экрана (добавление и проверка правила блокировки вредоносного сервера), нормализацию временных меток в лог-файлах, а также работу с регулярными выражениями (на основе материалов Regex One). В ходе работы был проведен анализ файла pcap с целью извлечения информации о загруженном файле и его экспорта на локальное устройство.

Санкт-Петербург 2024 г