Sherlocks

工具： analyzeMFT.py：https://github.com/dkovar/analyzeMFT analyzeMFT：https://ericzimmerman.github.io/#!index.md Task 1 问题：MFT 的 MD5 哈希值是什么？ certUtil -has ......

.pf 文件：windows 预读取文件 .evtx 文件：日志文件 $Extend：USN 日志 MFTECmd 下载：https://ericzimmerman.github.io/#!index.md Event Log Explorer 下载：https://eventlogxp.com/d ......

全网首发 工具：Event Log Explorer 过于简单 Task 1 问题：用户 cyberjunkie 何时成功登录他的计算机？ （世界标准时间） 0、下载 下载页面：https://eventlogxp.com/download.php?s=1&u=b 免费密钥：https://even ......

全网首发 工具：gHydra 使用教程：https://www.secrss.com/articles/8829 Task 1 问题：请确认用于加密所提供文件的加密密钥字符串？ 1、下载 ghydra（本人这是第一次接触逆向，因此需要下载工具，后面步骤可能不太规范，望大佬请喷） ghydra # 由 ......

Task 1 题目：外部承包商的用户名是什么？ 外部承包商通过访客 WiFi 访问了 Forela 的内部论坛，他们似乎窃取了管理用户的凭据！ 通过内部论坛窃取管理用户的凭据，首先需要注册一个普通用户。通过访客 WiFi 访问，ip 肯定是内网 ip 1、进入 sqlite3 tar -zxvf i ......

Task 1 题目：乍一看，这次攻击似乎可疑的是哪种协议？ 首先查看协议统计 可以发现，QUIC 使用最多，其次是 TCP，最后是 DNS 短时间内通过大量 DNS 数据包，比较奇怪 答案：DNS Task 2 题目：我们的主机与另一台主机之间似乎存在大量流量，可疑主机的 IP 地址是多少？ 可以看 ......

Task 1 题目：我们相信我们的业务管理平台服务器已受到损害。请确认正在运行的应用程序的名称？ 服务器受损，那肯定内网被打穿了，就有外网访问内网的流量 1、确定内网 IP 点击 Destination，查找内网 IP（172.31.6.44） 2、确定使用协议 首先查看是否使用 HTTP 有数据包 ......