¿Cuál es la IP de la víctima?（受害者的 IP 是什么？）

这个直接去统计 => IPv4 Statistics => All Addresses 中找到数据最多的IP大概率就是那个ip这里就是。10.0.19.14

¿Cuál es el Hostname de la víctima?（受害者的主机名是什么？）

找主机名我一般都是先去DHCP协议，然后就找到了

所以主机名是DESKTOP-5QS3D5D

¿Cuál es la dirección MAC de la víctima?（受害者的 MAC 地址是什么？）

MAC地址也是很好找直接就在数据链路层这个地方

MAC：00:60:52:b7:33:0f

¿Cuál es el nombre de la cuenta de usuario de Windows que estaba activa durante el incidente?（事件中活跃的Windows用户账户叫什么名字？）

关于找用户名那就去找与登录有关的信息！我这里找的是Kerberos 协议认证。在Wireshark中直接用kerberos.CNameString过滤

第一条数据就跟踪TCP流就能找到疑似用户名patrick.zimmerman尝试就成功了！

¿Cuál es el dominio de destino del contacto malicioso que utiliza la víctima? Ej: thehackerslabs.com（恶意联系人使用的目标域是什么？例如：thehackerslabs.com）

这一题我先去http看了看一下就发现了一个域名oceriesfornot.top！就好奇尝试了一下就过了！且响应数据最大最有嫌疑

¿Cuál es el dominios adicional de IcedID que contacta la víctima a través de tráfico cifrado (HTTPS) y siguela línea cronológica? (Excluyendo el primer contacto HTTP) Ej: thehackerslabs.com（受害者通过加密流量（HTTPS）还联系了哪个额外的 IcedID 域名？请按时间顺序排列（不包括首次 HTTP 接触）。示例：thehackerslabs.com）

要找http有关的东西我想到了可以在TLS握手获得大量明文信息。所以我用tls.handshake.type == 1进行筛选然后就找到了这个域名antnosience.com 因为它是出现的次数最多

¿A qué dominio de compartición de archivos contacta la víctima (10.0.19.14) a través de tráfico cifrado (HTTPS), recordando siempre el orden cronológico? Ej: thehackerslabs.com（受害者通过加密流量（HTTPS）还联系了哪个额外的 IcedID 域名？请按时间顺序排列（不包括首次 HTTP 接触））

这个题就用ip.src==10.0.19.14 && tls.handshake.type == 1 受害者 向 filebin.net 发起了 TLS Client Hello 请求：紧接着Filebin 使用的后端存储服务，用于实际下载文件：

然后找到了域名filebin.net

¿Cuál es el hash SHA256 del payload de malware descargado desde el dominio oceriesfornot.top?(从域名 oceriesfornot.top 下载的恶意软件载荷的 SHA256 哈希值是多少？)

最后一个就简单一些了！直接去 文件 =》导出对象 =》HTTP中就发现了内容类型为application/gzip的文件点击它点击它，主页就跳转到那个数据了（确实就是上面第五题域名的那条数据）

然后追踪tcp流后将显示为切换为源数据就可以另存为了payload.gz。

最后解压用sha256sum 计算文件哈希得到了SHA256 哈希值

c73fa29854fef8be9a39f712bc5b1405833ff5a912e4d46c02a1c59c7ac3de98