CTF竞赛入门(六)取证

最新推荐文章于 2025-05-23 08:13:43 发布
原创 最新推荐文章于 2025-05-23 08:13:43 发布 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客围绕数字取证展开,先介绍取证相关概述,包含文件分析、日志分析等。接着阐述常规思路,有日志、流量数据包、内存分析思路。最后进行取证实战,分别对日志、流量数据包、内存进行分析,涉及Linux系统日志、HTTP分析、volatility工具使用等内容。

0x01 取证

0x02 概述

  1. 文件分析和隐写
  2. 日志文件分析
  3. 流量数据包分析
  4. 内存分析

0x03 常规思路

0x03a 日志分析思路

  1. 投机取巧
  2. 黑客思维
  3. 工具辅助

0x03b 流量数据包分析思路

  1. 流量数据包修复
  2. 协议分析
  3. 数据提取与修复

0x03c 内存分析思路

  1. 不可挂载
  2. 可挂载

0x04 取证实战

0x04a 日志分析

  1. 对 Linux 系统日志的分析
  2. 对 Apache 日志的分析
  3. 黑客思维

0x04b 流量数据包分析

  1. 提取字符串
  2. 对 HTTP 进行分析
  3. PCAP文件修复和对HTTP进行分析
  4. 数据提取、分析与修复
  5. 对 DNS 进行分析
  6. 对 FTP 进行分析
  7. 对 SMB 协议进行分析
  8. 对 USB 中的键盘数据进行分析
  9. 对 USB 中的鼠标数据进行分析
  10. 对 USB 中的鼠标数据和键盘数据进行分析
  11. 对无线流量进行分析
  12. RAR伪加密

0x04c 内存分析

  1. volatility的使用
  2. 对 VMDK 文件进行分析
  3. 对 VHD 文件进行分析
  4. 对 IMG 文件进行分析
一次线上ctf的日志分析(sql注入),网络协议分析,内存取证
weixin_50464560的博客
09-16 5300
拿到的是两个东西 我们先看secret.log 很多乱码但是有一串16进制数 把这段复制下来,我们放到HxD看 点击新建,直接粘贴 发现不对,观察头部,发现少了一个数(5) 因为加上5就是一个rar头部 即 导出来,改成ya.rar 要密码 我们看password.pcapng 输入过滤找post 有些很奇怪的东西 查询后知道这是jsfuck加密,具体看这里:https://blog.youkuaiyun.com/weixin_50464560/article/details/1203..
CTFshow电子取证——内存取证1
m0_73756016的博客
04-12 1250
思路从JiaJia_Co.raw中识别系统版本从注册表中获取计算机内有哪些用户打印注册表中UserAssist相关信息,获取计算器程序最后一次运行的时间解题过程使用imageinfo插件,获取系统版本从imageinfo结果中可知,该内存镜像的系统版本为。
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
CTF-Windows硬盘文件分析取证(访问的网站地址)
asd158923328的博客
08-22 1467
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 依次打开([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat,index.dat是一个由Internet Explo...
CTF中的取证分析:数字证据的收集与解读
weixin_65409651的博客
08-26 1664
取证分析(Forensics)在CTF竞赛中模拟了数字证据的收集与分析过程。取证的目标是从系统、网络、文件等数据中提取关键信息,用以恢复事件的全过程或发现隐藏的证据。取证分析不仅仅是在CTF中的挑战,也是真实网络安全事件响应中的重要步骤。
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 4万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
CTF竞赛入门指南(CTFAllInOne)完整版PDF最新版本
12-01
什么是CTF竞赛CTF竞赛是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一...
精选资源
CTF比赛网络安全竞赛渗透测试入门资料.rar
05-22
CTF比赛网络安全竞赛渗透测试入门资料》是一个包含丰富资源的压缩包,旨在为初学者提供进入网络安全竞赛,特别是渗透测试领域的基础知识。CTF(Capture The Flag)是一种流行的信息安全竞赛形式,参赛者通过解决...
CTF入门到提升(一).docx
12-18
CTF竞赛模式分为三类:解题模式、攻防模式和混合模式。解题模式中,参赛队伍通过互联网或者现场网络参与,解决网络安全技术挑战题目的分值和时间来排名。攻防模式中,参赛队伍在网络空间互相进行攻击和防守,挖掘...
CTF竞赛必备资料包:取证、web、安全与入门指南
这些资料对于新入门的选手来说,是掌握CTF竞赛技巧和思路的重要资源。通过研究这些资料,可以快速了解CTF的出题模式和解题方法。 5. CTF入门指导 入门指导主要是针对初次接触CTF比赛的选手,为他们提供入门所需的...
CTF入门指南
m0_74223580的博客
10-13 3328
一.CTF的介绍 1.CTF的简介 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 2.CTF的起源 CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式,成为网络安全爱好者之间的竞技游戏。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。 3.CTF赛事介绍 CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Fl
关于CTF中的取证分析
weixin_46661122的博客
12-05 4943
什么是计算机取证? 计算机取证(Computer Forensics,又名计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信
CTF取证方法大汇总,建议收藏!
caoyongsheng的博客
08-17 3755
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的挑战可能包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析等。检查和处理静态数据文件,而..
CTF取证技术实战,图片、文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 3331
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
CTF——杂项3.流量取证技术
woo233的博客
09-09 4350
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
CTF磁盘取证分析方法案例
Bruce_xiaowei的博客
08-05 1049
​ 数据取证(Data Forensics)是一种技术和方法,旨在对计算机系统、网络或存储设备中保存的数字数据进行深入分析和验证,以确定其真实性、完整性和一致性。CTF比赛中,磁盘取证类题目一般会提供一个磁盘镜像,选手要综合利用磁盘存储和文件系统的知识来提取磁盘镜像文件中的flag。
CTF-MISC取证与隐写基础教程
最新发布
weixin_47233946的博客
05-23 542
CTF(Capture The Flag)竞赛中的MISC(杂项)题型广泛涉及取证和隐写技术。取证主要涉及电子证据的分析和还原,包括文件格式分析、数据恢复、日志分析和时间线还原等。隐写技术则是将信息隐藏在文件中,常见于图片、音频、视频和文本等。解题思路包括识别文件类型、检查文件头和十进制内容、使用数据恢复工具和分析日志或流量包等。常用的工具有binwalk、foremost、stegsolve、zsteg、exiftool、Audacity、010Editor/WinHex、strings/grep、St
OtterCTF 内存取证
weixin_51804748的博客
05-15 4111
最近小小的学习了一下内存取证,装环境搞了整整一天,非常麻烦,在阅读相关资料时偶然看到了一篇WriteUp,是关于OtterCTF2018的十三道内存取证题目,用的全部是同一个镜像,考察的知识点非常全面,可以用来熟悉一下volatility的使用,关键是比赛平台居然还开着,正好当作内存取证的一次入门学习 OtterCTF 1 - What the password? ┌──(root㉿kali2022)-[~] └─# vol.py -f /root/桌面/OtterCTF.vmem imageinfo
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值