主要的轉檔指令為:
editcap -F libpcap -T ether file.pcapng file.pcap
使用dos指令切換至windows的wireshark目錄
 |
| 指令 |
紅色部分:轉完檔後pcap檔放置位置
2014年9月16日 星期二
[wireshark]封包檔pcapng轉pcap
在wireshark的功能中,用editcap功能,提供將封包檔案pcapng轉pcap的功能,操作過程如下
主要的轉檔指令為:
editcap -F libpcap -T ether file.pcapng file.pcap
使用dos指令切換至windows的wireshark目錄
黃色部分:待轉檔的pcapng檔路徑
紅色部分:轉完檔後pcap檔放置位置
主要的轉檔指令為:
editcap -F libpcap -T ether file.pcapng file.pcap
使用dos指令切換至windows的wireshark目錄
紅色部分:轉完檔後pcap檔放置位置
2014年7月19日 星期六
[日誌分析]event log和web log時間紀錄方式
在windows伺服器中,日誌的紀錄方式可分為2種樣式
1.事件檢視器的event log
2.網站紀錄檔的web log
在event log上,主要紀錄伺服器的安全、登入事件、更新等情況,其中最重要的時間點紀錄方式,為抓取伺服器的時間,若伺服器的時間設定為何,則event log紀錄的時間則是伺服器設定的時間
在web log上,主要是紀錄網站瀏覽的行為或網站的任何事件。其紀錄檔案放置在iis的設定路徑下,時間紀錄的格式為GMT。若要還原為台灣時間,則需+8小時,變成GMT+8
1.事件檢視器的event log
2.網站紀錄檔的web log
在event log上,主要紀錄伺服器的安全、登入事件、更新等情況,其中最重要的時間點紀錄方式,為抓取伺服器的時間,若伺服器的時間設定為何,則event log紀錄的時間則是伺服器設定的時間
 |
| EVENT LOG時間 |
在web log上,主要是紀錄網站瀏覽的行為或網站的任何事件。其紀錄檔案放置在iis的設定路徑下,時間紀錄的格式為GMT。若要還原為台灣時間,則需+8小時,變成GMT+8
 |
| WEB LOG時間 |
2014年5月21日 星期三
[惡意簡訊詐騙]惡意簡訊詐騙已逐漸變型
最近的簡訊惡意程式,已經開始變型,如果不是使用手機點擊惡意程式的話,發現將跳轉至正常的網站。因此降低被發現的風險
鑑於此,基本分析如下:
惡意簡訊詐騙
利用短網址還原服務測試(發現有網址轉址的功能)
推測若非android的手機,則直接跳轉至其他網站,以規避被發現的風險
還原正常惡意程式下載的過程
whois的ip查詢(國家為南韓 Korea)
測試中繼站ip開啟的服務內容(port 80、port3306、port 3389)
結論:
目前惡意簡訊的中繼站確開始篩選使用者的來源,會分辨使用者的使用裝置,若非手機系統的話,則會跳轉至正常官方網站,降低被發現的可能。
中繼站多架設於國外,不易追查
鑑於此,基本分析如下:
惡意簡訊詐騙
google輸入短網址測試(發現使用電腦測試的話,會自動轉到正常的黑貓官方網站)
推測若非android的手機,則直接跳轉至其他網站,以規避被發現的風險
還原正常惡意程式下載的過程
whois的ip查詢(國家為南韓 Korea)
測試中繼站ip開啟的服務內容(port 80、port3306、port 3389)
中繼站遠端登入畫面
目前惡意簡訊的中繼站確開始篩選使用者的來源,會分辨使用者的使用裝置,若非手機系統的話,則會跳轉至正常官方網站,降低被發現的可能。
中繼站多架設於國外,不易追查
2014年5月13日 星期二
[釣魚網站分析]LINE的釣魚網站分析
LINE的釣魚網站分析
利用line貼圖的特性,誘拐民眾點擊釣魚網站後,輸入相關帳號密碼,以竊取相關個資。
釣魚網站:
利用line貼圖的特性,誘拐民眾點擊釣魚網站後,輸入相關帳號密碼,以竊取相關個資。
釣魚網站:
釣魚頁面與主機位址
主機國家
開啟的相關服務(port21、port80、port445、port3306)
因此,該中繼站系統內含有資料庫,有民眾的詐騙個資在裡面
2014年4月15日 星期二
[line盜用]line被盜用線上回報機制
若發現line被盜用,處理方式:
1.可依序填入相關資訊,將回報給line公司進行後續處理問題
回報網址:
https://line.naver.jp/cs/
2.帳號遭入導致侵權損害涉欲提告個資法與刑法妨害電腦用罪者,可檢具相關具體資料(如電子郵件或網頁等資料),至各地警察機關完成報案手續。
訂閱:
文章 (Atom)