计算流量包文件的SHA256值是？[答案：字母小写][★☆☆☆☆]

4db1c8f3bfa8e29f294f8581e8cccad6f5b3012387d53ef844f2de6fb9ef1fd6

流量包长度在“640-1279”之间的的数据包总共有多少？[答案：100][★☆☆☆☆]

frame.len >= 640 and frame.len <= 1279

点击统计里面的分组长度

黑客使用的计算机操作系统是？[答案：windows7 x32][★★☆☆☆]

TLS解密

TLS 是一种加密协议，用于保护在网络上传输的数据的安全性和隐私性。当客户端与服务器之间进行加密通信时，TLS 协议使用加密密钥来对通信数据进行加密，以确保数据在传输过程中不被窃听或篡改。

过滤http，http头中User-Agent，包含了浏览器参数和电脑操作系统参数，就能知道操作系统

黑客上传文件到哪个网盘？[答案：xx网盘][★★☆☆☆]

黑客上传网盘的中间件是？[答案：xxxx][★★☆☆☆]

中间件是什么

原来中间件就是web服务器

黑客首次登陆网盘时间是？[答案：2000-01-01 01:00:33][★★☆☆☆]

http contains "pan.baidu.com"

打开正好是登陆界面

黑客上传到网盘的txt文件的md5值是？[答案：字母小写][★★★☆☆]

http contains".txt"

6a5aff7bec78dd1e4fc23e571b664b50

黑客上传到网盘的txt文件第8行的内容是？[答案：XXX][★★★☆☆☆]

$$

被入侵主机的计算机名是？[答案：XXXXXXXXXXX][★★★☆☆]

过滤dhcp

什么是DHCP

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议），前身是BOOTP协议，是一个局域网的网络协议，使用UDP协议工作，统一使用两个IANA分配的端口：67（服务器端），68（客户端）。DHCP通常被用于局域网环境，主要作用是集中的管理、分配IP地址，使client动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。简单来说，DHCP就是一个不需要账号密码登录的、自动给内网机器分配IP地址等信息的协议。

IP地址分配确认 & 租约确认（DHCP Ack）：当DHCP服务器接收到客户机的DHCP request之后，会广播返回给客户机一个DHCP ack消息包，表明已经接受客户机的选择，告诉DHCP客户端可以使用它提供的IP地址。并将这一IP地址的合法租用以及其他的配置信息都放入该广播包发给客户机。

发送协议的时候会携带主机信息

DHCP协议携带主机信息是为了有效地分配IP地址和配置网络参数，以及提供网络管理和故障排除所需的信息。

被入侵电脑的数据回传端口是？[答案：11][★★★☆☆]

根据前面

可以基本确定黑客的ip是192.168.100.141

看ftp的过滤

被攻击方的ip是192.168.100.139

可以看到他传进来很多setup.exe的文件

转换成原始数据导出

Windows安全中心立即响应

判断可能是木马

拖入沙箱里面分析

看到我们熟悉的ip

可以看到端口是8000

流量包中ftp服务器中的木马文件的md5值是？[答案：字母小写][★★☆☆☆]

2a49a00a1f0b898074be95a5bbc436e3

木马文件伪造的软件版本是？[答案：0.0.0.0][★★☆☆☆]