WhiteIntel

WhiteIntel是一个由暗网推动的搜索引擎，提供免费功能，用于检查公司或其客户是否受到窃取恶意软件的侵害。

WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。

您可以访问他们的网站并免费尝试他们的引擎：

提升您的Wireshark技能

教程

以下教程非常适合学习一些很酷的基本技巧：

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

分析信息

专家信息

单击 Analyze --> Expert Information 您将获得对分析的数据发生情况的概述：

已解析地址

在 Statistics --> Resolved Addresses 下，您可以找到Wireshark解析的一些信息，如端口/传输到协议，MAC到制造商等。了解通信中涉及的内容是很有趣的。

协议层次结构

在 Statistics --> Protocol Hierarchy 下，您可以找到通信中涉及的协议及其相关数据。

对话

在 Statistics --> Conversations 下，您可以找到通信中对话的摘要及其相关数据。

端点

在 Statistics --> Endpoints 下，您可以找到通信中端点的摘要及每个端点的相关数据。

DNS信息

在 Statistics --> DNS 下，您可以找到有关捕获的DNS请求的统计信息。

I/O图

在 Statistics --> I/O Graph 下，您可以找到通信的图表。

过滤器

在这里，您可以找到根据协议的Wireshark过滤器：https://www.wireshark.org/docs/dfref/ 其他有趣的过滤器：

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTP和初始HTTPS流量

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTP和初始HTTPS流量 + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTP和初始HTTPS流量 + TCP SYN + DNS请求

搜索

如果您想在会话的数据包中搜索内容，请按下_Ctrl+f_。您可以通过按右键然后编辑列来向主信息栏添加新层（编号、时间、来源等）。

免费的pcap实验室

通过以下免费挑战练习： https://www.malware-traffic-analysis.net/

识别域名

您可以添加一个显示Host HTTP标头的列：

以及添加一个从发起的HTTPS连接中添加服务器名称的列（ssl.handshake.type == 1）：

识别本地主机名

从DHCP

在当前的Wireshark中，您需要搜索DHCP而不是bootp

从NBNS

解密TLS

使用服务器私钥解密https流量

编辑>首选项>协议>ssl>

点击_编辑_，添加服务器和私钥的所有数据（IP、端口、协议、密钥文件和密码）

使用对称会话密钥解密https流量

Firefox和Chrome都有记录TLS会话密钥的功能，这些密钥可以与Wireshark一起用于解密TLS流量。这允许对安全通信进行深入分析。有关如何执行此解密的更多详细信息，请参阅Red Flag Security的指南。

要检测此内容，请在环境中搜索变量SSLKEYLOGFILE

共享密钥文件看起来像这样：

要在Wireshark中导入此内容，请转到_编辑 > 首选项 > 协议 > ssl > 并将其导入到（Pre）-Master-Secret日志文件名：

ADB通信

从发送APK的ADB通信中提取APK：

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel 是一个由暗网支持的搜索引擎，提供免费功能，用于检查公司或其客户是否受到窃取恶意软件的损害。

WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。

您可以访问他们的网站并免费尝试他们的引擎：