乍一看，这似乎是一个简单的问题，但仔细想想可能会更复杂一些。

在我们讨论如何检索有效负载之前，我应该强调备份您的机器并采取额外预防措施的重要性。运行恶意软件，即使在虚拟机中，也是一项危险的工作。安全行走。

最安全的方法可能是使用wget或类似的工具来下载有效负载。有很多的方式来下载的资产。甚至有一些工具可以让您“重放” .pcap（网络捕获）文件，就好像 HTTP 客户端连接到原始服务器一样，但这听起来不像您要找的。

但是，出于以下几个原因，从另一台计算机手动下载有效负载可能不是您尝试执行的操作的最佳方式：

1. 服务器可能只为特定请求的细微差别提供正确的有效负载。

   服务器可能会过滤任何 http 请求的细微差别，以检测在恶意软件之外下载的有效负载。使用特定的UserAgent特定标头或请求参数（例如发布数据）可能会发生这种情况。

2. 有效载荷可能会以某种方式加扰，使其在不提供给恶意软件的情况下变得毫无用处。

   如果您计划伪造来自内部网络的 Web 响应，这不是什么问题（尽管这里可以进行简单的质询响应），但是如果您计划下载和逆向工程负载，您可能会遇到需要在您继续研究之前，请进一步分析原始恶意软件下载器。

3. 恶意软件之后可能会依赖进一步的服务器通信。

   如果您计划将有效载荷提供给恶意软件下载器并继续执行，则下载器本身甚至下载的有效载荷可能需要与 C&C 服务器保持更一致的连接。如果没有实时互联网连接，这将使任何额外的动态调查变得困难。

4. 多次下载尝试可能会阻止您的 IP/IP 范围。

   如果前面的任何步骤失败，您将多次尝试再次下载有效负载。奇怪的是，这可能会使您的 IP 或 IP 范围恰好被该恶意软件服务器禁止，以防止任何调查尝试。这是恶意软件操作中的常见做法，而且通常情况下，您只会得到一个良性的可执行文件，而不是被直接阻止。

5. 将恶意软件连接到互联网并没有那么危险。

   如果恶意软件在最新的虚拟机中运行，让下载器下载其有效负载的风险很小。大多数示例不会有任何 VM 来宾来托管零日（而那些有的，也可能将其包含在第一阶段的可执行文件中）。您应该考虑让恶意软件有效负载连接到 Internet 的原因和反对的原因，并确保保持恶意软件断开连接适合您。为了提高安全性，您可以将恶意软件连接到不同的（受限）网络接口，或者甚至连接到不同 ISP/互联网帐户的网络接口。

如果您在 wireshark 会话中捕获了 GET 回复，那么我建议您只从中提取二进制文件。通过这种方式，您还可以避免下载器使用某种质询/响应或基于时间的协议的情况，这意味着使用相同 URL 的第二次尝试将失败，或者它是一个快速流量或被劫持的服务器，在您获得时可能会关闭再次尝试下载。