728x90
반응형
NX 장비 이벤트 분석_1
1. Web Infection Pcap 분석 하기
- Pcap 다운로드 및 실행
- Wireshark에서 file - Export objects - HTTP 클릭
HTTP object list로 hostname, Content Type, Filename 및 사이즈에 대한 리스트로 분석 가능
위 화면에서 FireEye Web Infection 이벤트에 감염 URL로 찍힌 도메인을 찾고 그 바로 위 도메인에 대한 정보 수집 및 분석
-> 해당 패킷을 http stream으로 다시 찍어서 referer가 있는지 확인
- referer가 없는 경우
- 해당 사이트를 요청 시 자바 플래쉬를 이용하여 리다이렉트 했을 경우 남기지 않음
- 패킷 유실의 경우
반응형
'DFIR' 카테고리의 다른 글
| google 브라우저 사용자 정보 (작성중) (0) | 2020.04.07 |
|---|---|
| <실습-1 : 성인 포렌식 케이스> (0) | 2019.02.08 |
| Volatility를 이용한 메모리 포렌식 (0) | 2018.02.14 |
| [윈도우 포렌식 실전 가이드] 2장 소프트웨어 덤프 (0) | 2017.07.03 |
| [윈도우 포렌식 실전 가이드] 1장_라이브 리스폰스 스크립트 (0) | 2017.06.30 |