- 博客(7)
- 收藏
- 关注
RSS订阅原创 ctf比赛中流量分析笔记(持续更新)
Wireshark作为专业的网络流量分析工具,提供多种过滤方法:协议过滤:支持TCP、HTTP、ICMP等协议过滤IP过滤:可按源/目标主机过滤端口过滤:支持源/目标端口过滤逻辑运算:支持与(&&)、或(||)、非(!)运算工具可分析各层网络协议:应用层:HTTP(网页)、FTP(文件传输)传输层:TCP(可靠连接)、UDP(无连接)网络层:ICMP(控制报文)、ARP(地址解析)
2025-06-02 10:34:06
2110
原创 ctf比赛中内存取证题目解析3
摘要:通过对系统内存和文件的分析,发现恶意进程为powershe11.exe,其写入文件为hilyary.txt。获取到admin账户密码123456,攻击者创建的账户名为Price。在桌面skills.jpg文件中发现隐藏的flag信息welc0me_to_2023_chinaskills。分析过程涉及进程查看、文件提取、密码破解和文件扫描等技术。
2025-06-01 15:04:02
611
原创 ctf比赛中内存取证题目解析2
通过对恶意程序的分析,发现其进程为test.exe,偏移后的进程号为1172和2568。恶意网站链接为http://192.168.44.105:8080/77sA8gJu1,文件虚拟地址为0xe171b008。系统开机自启痕迹显示最后一次更新时间为2014-11-20 06:27:32。分析过程中使用了Volatility工具集的pslist、connections、iehistory、hivelist和shimcache等命令进行取证。
2025-05-30 10:47:15
409
原创 ctf比赛中内存取证题目解析1
摘要:通过对系统镜像分析,获取admin用户密码flag{admin,H8d*or},系统IP和主机名flag{192.168.232.129:CXKKA2ZCLKN}。发现挖矿进程矿池地址flag{51.254.84.37}和恶意服务名flag{WindowsATE}。最后导出黑客下载的flag文件内容flag{f2cxewa4xcsaac2}。
2025-05-30 09:10:07
605
原创 ctf比赛中内存取证的常用命令
Volatility内存取证工具使用指南,涵盖Windows系统取证常用命令。包括:用户信息提取(printkey/hashdump)、进程分析(pslist/psscan)、网络连接检查(netscan/connscan)、文件操作(filescan/dumpfiles)、注册表取证(hivelist/printkey)、浏览器记录(iehistory)、剪贴板内容(clipboard)等关键操作。特别说明Win7/WinXP等不同系统的命令差异,提供内存转储分析、恶意进程检测、密码哈希提取等
2025-05-29 11:02:23
1111
2
原创 ctfshow-misc入门题目解析2(misc24-56)
本文总结了CTF竞赛中图片类隐写题的解题方法,主要分为文件结构和颜色通道两大类型。在文件结构类题目中,通过修改图片高度/宽度、分析帧间隔时间、CRC校验错误等方式获取flag,涉及010Editor、Stegsolve等工具的使用。颜色通道类题目则利用Stegsolve工具分析RGB通道的LSB隐写信息。文章详细记录了20多道典型题目的解题思路和具体操作步骤,包括PNG、GIF、BMP等不同格式图片的处理技巧,为CTF图片隐写类题目提供了系统的解题参考。
2025-05-27 18:00:55
2319
原创 ctfshow-misc入门题目解析1(misc1-misc23,misc41)
pwd=zxcv提取码: zxcv。下载题目文件,解压后得到txt文件,打开文件发现开头为“塒NG”,这是png文件的标志,更改文件后缀名为png,打开图片获得flag。根据题目信息,使用010Editor软件打开文件,搜索F001,搜索类型由ascii转换为十六进制,发现类似flag信息。图片中显示此处无flag,则使用010Editor软件打开文件,使用ctrl+f搜索ctfshow,找到flag。根据题目信息,使用010Editor软件打开文件,在文件末尾寻找flag,发现类似ctfshow的字段。
2025-05-26 16:08:18
2447
8
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人