shraddhhaapokharell/Malware-Traffic-Analysis-Incident-Response

# 项目2：恶意流量分析与事件响应 ## 概述 本项目涉及分析来自 Malware-Traffic-Analysis.net 的真实恶意 PCAP 文件。使用 Wireshark，我识别出受感染主机、恶意 C2 服务器以及编码的信标流量，并将所有发现记录在专业的 incident report 中。 ## 使用的工具 - Wireshark - TCP 流分析 - DNS 查询分析 ## 关键发现 - **受感染主机：** 10.2.28.88 - **C2 服务器：** 45.131.214.85 - **可疑域名：** vadasu.xyz、wpad.easys123.tech、wpad.mshome.net - **恶意流量模式：** 使用 NetSupport Manager User-Agent 的 HTTP POST 请求，包含编码数据（CMD=ENCD） ## 本仓库中的文件 | 文件 | 描述 | | :--- | :--- | | `/PCAP_Files/` | 原始 PCAP 文件（因体积原因未上传） | | `/Screenshots/` | Wireshark 的证据截图 | | `/IOCs/` | 妥协指标（IOCs.txt） | | `/Incident_Report/` | 完整事件报告（PDF） | ## 展示的技能 - 在 Wireshark 中进行 PCAP 分析 - 恶意流量识别 - DNS 查询分析 - C2 服务器识别 - 编码流量检测 - 事件报告撰写 - IOC 提取 ## 复现步骤 1. 从 Malware-Traffic-Analysis.net 下载 PCAP 文件 2. 在 Wireshark 中打开 3. 按受感染主机 IP（10.2.28.88）过滤 4. 使用 `!dns` 过滤 DNS 以查找 C2 流量 5. 跟进 TCP 流以检查编码数据 ## 报告节选

标签：Beaconing, C2通信, DAST, DNS查询分析, HTTP POST, IOC提取, NetSupport Manager, PCAP分析, TCP流分析, Wireshark, 句柄查看, 命令与控制, 域名检测, 恶意流量分析, 恶意软件分析, 编码流量, 网络安全, 隐私保护