OsmanDhaqane/boogeyman-1-tryhackme-writeup

# Boogeyman 1 – TryHackMe Write-Up 本仓库包含我为 TryHackMe 房间 **Boogeyman 1** 撰写的解题报告。 该房间主要侧重于调查钓鱼攻击，涵盖从最初的电子邮件分析到端点和网络证据的各个阶段。我分析了恶意电子邮件，提取并检查了其中的 LNK 附件，解码了 PowerShell 负载，查看了 PowerShell 日志，识别了攻击者基础设施，并从 DNS 流量中重构了被窃取的数据。 ## 练习技能 - 钓鱼电子邮件头部分析 - Thunderbird 邮件源码审查 - 使用 `lnkparse` 进行恶意 LNK 文件分析 - Base64 PowerShell 负载解码 - PowerShell 脚本块日志分析 - 使用 `jq` 解析 JSON - IOC 与域名提取 - 使用 `tshark` 和 Wireshark 进行 C2 流量分析 - 基于 DNS 的数据外泄分析 - 从十六进制数据块重组被外泄的文件 - KeePass 数据库恢复与审查 ## 使用工具 - Thunderbird - lnkparse - PowerShell 日志 - jq - grep / awk / sed - base64 - tshark - Wireshark - xxd - KeePass / keepass2 ## 详细步骤 完整的详细步骤可在此处查看： [boogeyman-1-tryhackme-writeup.pdf](./boogeyman-1-tryhackme-writeup.pdf)

标签：AI合规, awk, base64, Base64解码, C2流量分析, C2通信分析, DAST, DNS 反向解析, DNS渗透, DNS隐蔽通信, grep, HTTP工具, IoC提取, IP 地址批量处理, jq, KeePass恢复, KeePass数据库分析, lnkparse, LNK文件分析, OpenCanary, PowerShell分析, PowerShell日志, sed, TryHackMe, tshark, Wireshark, Write-up, Writeup, xxd, 句柄查看, 命令与控制, 命令行分析, 基础设施分析, 威胁情报, 实验报告, 密码管理器取证, 开发者工具, 快捷方式恶意文件, 恶意软件分析, 搜索语句（dork）, 数字取证, 数据渗出, 溯源分析, 红队与蓝队, 网络协议分析, 网络安全, 网络流量分析, 自动化脚本, 邮件安全, 钓鱼邮件分析, 隐私保护