【笔记】CTF图片、文件的简单取证

最新推荐文章于 2025-05-14 00:40:16 发布
最新推荐文章于 2025-05-14 00:40:16 发布
阅读量3.7k 收藏 14
点赞数 2
CC 4.0 BY-SA版权
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XenonL/article/details/104593692
本文介绍了CTF中进行图像和文件取证的基本方法,包括GIF取证、文件取证、ZIP压缩密码爆破、MINIX文件挂载、查看十六进制内容、Magic Header识别及PCAP文件中的图片和USB键位信息提取。通过Linux命令和工具,如convert、binwalk、Wireshark等,解析隐藏在各种格式中的信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原课程链接:CTF取证实战课程(入门级)- 51CTO

https://edu.51cto.com/course/15228.html

 

文件、图片取证的简单思路:

1、gif图片:提取、拼合

2、可挂载系统文件:挂载系统文件

3、未知格式文件:查看十六进制编码,可能是Magic Header的修改

4、隐藏文件:binwalk提取文件中的隐藏信息;ls -a

5、PCAP:查找敏感信息,分离文件;USB信息

6、压缩包:爆破密码

7、文本:解码,解密

 

 

GIF取证

 

情况1:Flag隐藏在GIF的某一帧中

方法:将每一帧拆分成一个单独的png

linux下,使用:

convert gif文件名 %02d.png

 这句话的意思是将gif的每一帧拆分,并按数字顺序(%02d的作用)命名。

 

情况2:Flag需要将GIF各帧上的图形拼在一起才显现出来

方法:分离再组合

第一步分离:

convert gif文件名 %02d.png

第二步去掉背景白色:

ls *.png | while read filename; do convert $filename -transparent white $filename; done

最低0.47元/天 解锁文章

200万优质内容无限畅学
Evixenon
关注
CTF-数字取证合集
admin的博客
11-27 7466
本题来自moectf的easyForensics。 下面是题目链接: https://masternoah.lanzoui.com/iFXVfsy5o3e 一、首先下载软件X-ways Forensics 我们可以了解一下e01文件文件类型。参照下面这篇文章。一句话来讲就是e01就是一个计算机某一时刻全部操作的证据文件。 封装E01文件格式说明 — 磁盘映像取证 (forensicsware.com) 二、打开文件 文件打开后是这个样子: 然后点击这个按钮,就可...
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_84296945的博客
05-12 1361
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
ctf必备-foremost图片隐写提取工具多平台版 隐写术提取工具 mac linux win三版本 附带源码.zip
07-11
foremost图片隐写提取工具多平台版 隐写术提取工具 mac linux win三版本 附带源码
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3494
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
BUUCTF——杂项渗透之USB流量截取
最新发布
cai_huaer的博客
05-14 977
但是,本题,由于他不是鼠标流量提取的,所以在进行第一步的时候,它生成的outm.txt没有任何内容,所以无法向下走下去,也就无法运行mouse2.py和mouse3.py了。运行后,将在终端中打印出flag。虽然键盘流量提取已经通过了,说明这题就是键盘流量提取,但是在这里,我也把鼠标流量提取记录一遍,以便以后的查询。不过此题,我用随波逐流没有解出来,他生成了下面三个文件,但是键盘的是空的txt,鼠标则是添加了冒号。,我尝试过,同样可以打印出flag,只是分步进行,容易查看出哪一步有问题,然后进行改正。
CTF题记——取证小集合
m0re's blog
11-07 6970
前言 最近接触到的取证类题目很多,所以就总结一下这类题。 不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。 "食用"方法 判断镜像信息,获取操作系统类型 volatility -f ?.img/raw/... imageinfo 知道操作系统类型后,用–profile指定 volatility -f ?.img --profile=... 查看当前显示的notepad文本 volatility -f file.raw --profile
CTF取证技术实战,图片文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 2875
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(4)
2401_84296945的博客
05-12 1199
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
BMZCTF:内存取证三项(数字取证)
zip471642048的博客
04-22 1164
文章目录内存取证查看imageinfo查看所有活动进程查看下cmd.exe的使用情况发现个压缩包,文件扫描出文件在内存的位置dump出文件在当前目录修改为zip后缀寻找压缩包密码猜测压缩包密码得到flag 内存取证 内存取证三项.txt 一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑
CTF学习24.11.8[取证]
skulltougaigu的博客
11-08 436
(Electronic Data Forensics,简称)是一门专业领域,涉及调查、收集、分析和技术保护电子设备和数字环境中存储的数据。它在法律案件、安全审计和企业合规中扮演关键角色。:从可疑设备或网络源中合法地提取电子数据,可能涉及硬盘镜像、电子邮件、聊天记录等。:使用专业的工具对数据进行初步检查,识别文件类型、时间戳和其他元数据,以便确定其价值和关联性。:如果数据部分损坏或加密,可能需要特殊技术解密或修复。:整理提取的数据,确保其完整性和可追溯性,并遵守法律要求的保密性和保管期限。
CTF中的取证分析:数字证据的收集与解读
weixin_65409651的博客
08-26 1420
取证分析(Forensics)在CTF竞赛中模拟了数字证据的收集与分析过程。取证的目标是从系统、网络、文件等数据中提取关键信息,用以恢复事件的全过程或发现隐藏的证据。取证分析不仅仅是在CTF中的挑战,也是真实网络安全事件响应中的重要步骤。
CTF-MISC刷题-图片
sinawen的博客
12-23 3832
Stegseek是迄今为止全世界最快的Steghide破解器,该工具每秒能够处理数百万的密码。虽然Stegseek是一款轻量级工具,但丝毫不影响其功能性的强大。该工具作为原始Steghide项目的一个分支而构建,它的速度比其他破解器快上千倍。在该工具的帮助下,广大研究人员可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。除此之外,Stegseek还可以用来提取Steghide的元数据,我们可以利用这些信息来判断一个文件中是否包含了Steghide数据。
CTF文件
YkingH的博客
07-08 1056
CTF文件包含 文件包含漏洞 定义:在通过php函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入 危险函数 include() include_once() require() require_once() 解题思路 本地文件包含:直接读取目标机上的Flag文件 远程文件包含:指定第三方服务器上可运行的PHP木马,拿到webshell,查看flag文件 php.ini allow_url_fopen = on/off 允许ur
CTF取证方法大汇总,建议收藏!
caoyongsheng的博客
08-17 3464
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的挑战可能包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析等。检查和处理静态数据文件,而..
python gifctf_一个 ctf 上抠出来的 Python 代码,求大家解析
weixin_39906114的博客
12-09 279
一个 ctf 上抠出来的 python 代码,求大家解析,在第 5 行用到了乱七八糟的东东。不知何意。另:这个 ctf 是来分析一个 pcab 包,来还原攻击行为,有没有兴趣的朋友加入,我找到了 2 个 flag ,感觉很有趣,有兴趣可 PM 我。#!/usr/bin/env pythonfrom itertools import cycle, izipimport base64, sysimpo...
CTF-Misc 文件类型 详细解
hustle28214的博客
09-21 3185
题目的关键就在于识别十六进制——掌握BASE64的可打印字符——记住要去掉逗号和括号。看到46ESAB,猜想是BASE64编码,但是。看到出现了A-F的字符,初步判定是十六进制,即hex文件。攻防世界下载附件,如图。另存为zip文件,找到了flag.txt,夺旗成功!初次接触CTF的Misc方向,在这里详细记录一下。
CTF常见文件类型的文件
qq_62376678的博客
10-16 998
ctf的misc杂项部分经常遇到一些需要通过文件头去判别文件类型的题目。下图为一些常见类型的文件头。
CTF MISC---常见文件文件头总结
tzyyyyyy的博客
10-27 2538
针对CTF中的MISC常见文件文件头进行总结
溯源取证-Chromebook数字取证 基础篇
weixin_48421613的博客
04-05 884
此次主要学习如何检查chromebook系统
ctf笔记
03-18
### 关于CTF竞赛的笔记与资料 #### CTF竞赛概述 CTF(Capture The Flag)是一种流行的网络安全竞赛形式,其目标是通过解决各种技术挑战来捕获旗帜[^1]。这种比赛通常分为三种主要赛制:解题模式(Jeopardy)、攻防模式(Attack-Defense),以及混合模式(Mix)。其中,混合模式结合了解题和攻防的特点,在比赛中既可以通过解题获得初始分数,又可以在后续阶段通过攻击其他团队或防御自己的服务来进行动态得分调整[^2]。 #### 题型分类 CTF竞赛中的题目涵盖了多个领域,常见的大类包括但不限于Web安全、逆向工程、密码学、二进制漏洞利用、取证分析等。每种类型的题目都旨在测试选手在特定方向上的技能水平。例如,在Web安全方面,SQL注入和文件上传漏洞是非常基础但也极为重要的知识点之一[^3]。 #### 学习资源推荐 对于初学者来说,可以从以下几个方面入手准备CTF竞赛: - **官方平台**:访问像CTFtime这样的网站可以帮助跟踪全球范围内的赛事信息及其时间安排。 - **在线教程与文档**:网络上有大量关于如何参与并成功完成不同类型CTF挑战的文章和视频指南。这些材料往往由经验丰富的玩家编写,并分享他们解决问题的心得体会。 - **实践练习环境**:除了理论学习外,实际动手操作同样重要。可以尝试参加一些公开训练营或者使用专门设计用于教学目的虚拟机镜像进行模拟演练。 以下是几个具体的学习建议: ```python import requests def check_sql_injection(url, payload): response = requests.get(f"{url}?id={payload}") if "error" in response.text.lower(): return True return False # Example usage of the function to test SQL injection vulnerability. test_url = 'http://example.com/vulnerable-page' injection_payload = "' OR '1'='1" if check_sql_injection(test_url, injection_payload): print("Potential SQL Injection Vulnerability Found!") else: print("No obvious vulnerabilities detected.") ``` 上述代码片段展示了一个简单的Python脚本用来检测是否存在基本形式的SQL注入风险。这只是一个非常初级的例子,在真实环境中还需要考虑更多复杂情况和技术细节。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值