Posted 2024-05-08Updated 2025-08-27malware_trafficFinding Gozi - Unit 42 Wireshark Quiz, March 2023Unit 42 Wireshark Quiz, March 2023 学习记录请求流首先看一下请求流都有啥东西发现一个请求追踪后其请求了zip文件 ZIP文件分析在虚拟机中将zip文件导出其文件内包含了一个URI,该URI是以file为开头的,那么就会产生SMB流量 SMB流量分析那就导出SMB流量传输的文件,发现文件并不是完全的,那就无法分析 感染流量分析查看在请求ZIP文件之后的HTTP流量,发现其又请求了四个rar文件流被加密,无法查看,且传输的是加密过的二进制文件 知识参考Finding Gozi: Answers to Unit 42 Wireshark Quiz, March 2023 #trafficmalware
