Web日志分析一 、HTTP基础1. HTTP报文格式解析HTTP请求报文HTTP请求包括3部分，分别是请求行、请求头和请求正文。Windows NT 10.0表示操作系统内核版本号，Windows XP内核号是NT 5.1或NT 5.2（64位操作系统)，Windows Vista的内核版本号是NT 6.0，Windows 7的内核版本号是NT 6.1，Windows 8的内核版本号是NT 6.

Wireshark全流量分析1. 时间设置在Wireshark中看到的时间默认为Seconds Since Beginning of Capture，即时间戳为秒格式，从捕捉开始计时，以后的时间是距离第一个捕获包的时间间隔。日期和时间(1970-01-01 01:02:03.123456):显示日期和每天的时间-时间格式(年月日，时分秒)。时间(01:02:03.123456)：只显示时间-日期格

1. Sysinternals SuiteSysinternals Suite是微软发布的一套非常强大的免费工具程序集。下载链接：https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite其中包含：AccessChk为了确保创建安全的环境，Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表

使用binwalk查看图片，发现还有其他文件使用binwalk -e 进行分离分离出一个zip文件和一个vmdk文件，zip里面放的也是这个vmdk文件，vmdk只有3M大小，应该不是用来导入虚拟机的那就用7z解压看看解压出四个文件夹，看名字flag应该是在key_part_one和two里找到两个文件，一个是ook加密一个Brainfuck加密，使用https://www.splitbrain.

一 、简介Volatility是一款开源内存取证框架，能够对导出的内存镜像进行分析，通过获取内核数据结构，使用插件获取内存的详细情况以及系统的运行状态。二 、安装Volatility下载源码https://github.com/volatilityfoundation/volatility解压unzip volatility-master.zip安装依赖cryptopip2 install pyc