取证技术应用

取证技术应用

考核内容：
（1）登入虚拟机（Win7_x64），双击“c:;tools;开启蜜罐.bat”，然后打开蜜罐设备管理页（https://miguan.test:4433/web/login
账号密码：admin/HFish2021），请描述：1）攻击最频繁的攻击者ip；2）列取被攻击的蜜罐服务；3）攻击者最常用的密码。
（2）利用电子取证技术恢复虚拟磁盘（c:;files;test.vhd）唯一分区中被恶意删除的机密文件，并获取机密文件内容。

1、HFish

搭建DNS服务器
由于蜜罐设备管理页面时以域名访问，所以搭设DNS服务器
进入Windows server ---服务器管理---添加角色和功能---DNS服务器---一直下一步---完成

创建DNS正向查找区域

客户机IP设定
客户机需通过域名访问Hfish，那么IP设定中DNS一定要指向DNS服务器IP地址

以上设定好后，可以按照https://miguan.test:4433/web/login登录web界面

注意事项

• 如果遇到无法访问，关闭防火墙
• 强制https访问

利用Kali系统模拟对蜜罐服务器进行攻击如：端口扫描、Ping操作等，蜜罐系统会自动记录。以便后续同学们对数据进行分析！

攻击最频繁的攻击者ip

列取被攻击的蜜罐服务

攻击者最常用的密码

任意输入账号密码，蜜罐服务器会自动收集账号密码信息

查看攻击者常用的密码