如何利用网络取证之流量分析的方式，还原恶意攻击入侵的全过程？

(2) 使用NAT模式将虚拟机中漏洞环境的80端口映射到本地主机的9999端口并访问漏洞环境网站;

(3) 在漏洞环境中的网站发现一个登录页面，并且没有验证码;

(4) 使用burpsuite拦截登录请求，并使用intruder模块进行登录爆破;

(5) 通过暴力破解找到登录的用户名和密码，然后利用用户名admin和密码admin登录，猜测是后台管理员用户名和密码成功登录网站后台;

同时还在漏洞环境的网站中找到一个文件上传的页面并上传恶意文件;

(6) 上传文件后点击browse，看到文件描述，使用F12查看文件在网站的路径到找到上传文件的具体位置;

(7) 使用恶意文件连接工具连接恶意文件并进行相关恶意操作;

(8) 在wirkshark中查看已捕获的恶意攻击者入侵的整个流程和详细内容;

(9) 查看通过http协议进行的通信内容：

看到源IP 192.168.0.168访问了的漏洞环境中网站的/wordpress/→接着访问了wordpress/wp-login.php→然后对wordpress/wp-login.php进行了一系列的POST请求，说明攻击者在进行一系列的登录。

(10) 在这些请求内容中发现一个状态码为302，302表示页面重定向。

(11) 通过追踪流的形式查看整个请求内容，看到使用用户名admin和密码admin进行了登录，且重定向到了wp-admin/;

(12) 继续向后追踪发现攻击者进行了对后台页面的登录;

(13) 在后面的数据记录中发现攻击者访问了wordpress/ap-admin/post.php?action=edit&post=4的页面;

(14) 在此处发现了一个POST请求，并上传了一个名为image.php的文件，通过流追踪的方式查看到文件内容，文件类容正是我们上传的内容;

(15) 看到上传恶意文件的文件名称，继续向后追踪发现攻击者访问了image.php这个恶意文件，并随后并发起了一系列POST请求;

(16) 查看这些请求和响应内容均为加密内容;

至此我们通过本地模拟恶意攻击者入侵过程，并利用流量分析的方式对恶意攻击者入侵的过程进行了一个真实完整的还原，充分体现了网络流量分析在计算机实时取证中有着重要的作用和意义。

本文主要介绍了网络取证之流量分析的方法和技术，并实操利用流量分析方式对恶意攻击者入侵进行完整还原取证的全过程，希望对大家有参考价值!

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!