erfannayeb/pcap-analysis

# PCAP 流量分析练习 这是一系列来自 [malware-traffic-analysis.net](https://malware-traffic-analysis.net) 的网络取证练习， 使用 Wireshark 进行分析。每个练习模拟了真实的 SOC 分析师工作流：识别 受感染的主机，从网络流量中提取用户/设备信息，并撰写正式的 事件报告。 ## 使用的工具 - Wireshark - 显示过滤器：`nbns`、`kerberos.CNameString`、`ip.addr`、`(http.request or tls.handshake.type == 1) and !(ssdp)` ## 练习 | # | 日期 | 标题 | 恶意软件 / 威胁 | |---|------|--------|-----------------| | 1 | 2026-02-28 | [Easy As 123](./2026-02-28-easy-as-123/) | NetSupport Manager RAT | | 2 | 2026-01-31 | [Lumma in the Room-ah](./2026-01-31-lumma-stealer/) | Lumma Stealer (信息窃取器) | | 3 | 2025-01-22 | [从虚假软件网站下载](./2025-01-22-fake-software-site/) | 恶意广告 → 信息窃取器 | ## 展示的技能 - 通过 IP 和 MAC 地址分析识别受感染的主机 - 使用 NBNS 协议过滤器提取主机名 - 通过 Kerberos (`kerberos.CNameString`) 恢复用户名 - 使用 HTTP/TLS 握手过滤器（SNI 提取）识别 C2 和恶意域名 - 识别恶意广告和域名抢注攻击模式 - 编写包含 IOC 表格和攻击链图的 SOC 风格事件报告 ## 仓库结构 ``` pcap-analysis-exercises/ │ ├── README.md │ ├── 2026-02-28-easy-as-123/ │ ├── README.md │ ├── incident-report.md │ └── screenshots/ │ ├── 2026-01-31-lumma-stealer/ │ ├── README.md │ ├── incident-report.md │ └── screenshots/ │ └── 2025-01-22-fake-software-site/ ├── README.md ├── incident-report.md └── screenshots/ ```

标签：AMSI绕过, C2通信, DAST, HTTP, Kerberos协议, Lumma Stealer, NBNS协议, NetSupport Manager, PCAP分析, RAT, SNI提取, SOC分析师, Wireshark, 事件响应报告, 信息窃取木马, 句柄查看, 威胁检测, 安全实验室, 安全运营, 库, 应急响应, 底层编程, 恶意广告, 恶意流量分析, 恶意软件分析, 情报收集, 扫描框架, 数字取证, 漏洞研究, 网络安全, 网络安全基础, 自动化脚本, 远控木马, 隐私保护