取证技术应用
考核内容:
(1)登入虚拟机(Win7_x64),双击“c:;tools;开启蜜罐.bat”,然后打开蜜罐设备管理页(https://miguan.test:4433/web/login
账号密码:admin/HFish2021),请描述:1)攻击最频繁的攻击者ip;2)列取被攻击的蜜罐服务;3)攻击者最常用的密码。
(2)利用电子取证技术恢复虚拟磁盘(c:;files;test.vhd)唯一分区中被恶意删除的机密文件,并获取机密文件内容。
1、HFish
搭建DNS服务器
由于蜜罐设备管理页面时以域名访问,所以搭设DNS服务器
进入Windows server ---服务器管理---添加角色和功能---DNS服务器---一直下一步---完成
创建DNS正向查找区域
客户机IP设定
客户机需通过域名访问Hfish,那么IP设定中DNS一定要指向DNS服务器IP地址
以上设定好后,可以按照https://miguan.test:4433/web/login登录web界面
注意事项
- 如果遇到无法访问,关闭防火墙
- 强制https访问
攻击最频繁的攻击者ip
列取被攻击的蜜罐服务
攻击者最常用的密码
