取证的艺术

CTF
字数统计: 646   |   阅读时长≈ 2 分钟

取证的艺术

by rhzhrhzhr

取证的定义

(别问我是从哪里抄来的,懂得都懂)

CTF中的取证

主要分为流量分析(流量)、内存镜像取证(内存)和磁盘镜像取证(镜像)三大块

流量取证:分析网络数据包,追踪攻击路径与通信行为。
镜像取证:分析磁盘镜像文件,恢复被删除或隐藏的数据。
内存取证:分析内存转储,提取系统运行时进程、密码等易失性证据。

需要使用的工具(此处仅给出我本人使用的)

流量

  • 流量分析软件:wireshark: 官网

镜像

  • 虚拟机软件:VMWare Workstation 百度网盘
  • 镜像读取/挂载软件:FTK Imager 百度网盘 , Disk Genius(话说拿分区软件做取证题是不是有点抽象)
    ps:由于VMWare和FTK Imager的官网下载要填一大堆信息,所以直接把安装包放上来了,但由于github单文件上限100MB,故放百度网盘了(悲)

内存

还有一些misc相关工具(如密码爆破等),就不一一赘述了

例题

由于时间和篇幅有限,所以只讲两个小方向:简单的镜像取证和usb-hid流量取证。

在此给出两道例题的附件:

镜像:下载 Project.zip

流量:下载 监听记录.pcapng

ps:流量的例题就是迎新赛的deltafuck-3,自己出的题,直接复用(

镜像

设计思路:把虚拟机挂在vmware上并运行,用简单的Linux命令即可获取flag

打开压缩包,可以看到以下几个文件:

其中.vmdk和.vmx是vmware的标准虚拟机格式,可以用这两个文件直接运行此虚拟机

扔进vmware:

选择刚才的.vmx文件即可读取

开启虚拟机前,注意到光盘位挂载了一个文件:

就是虚拟机文件夹里的第三个文件。

开机,在经过一个加载流程后,会进入一个简单的shell。

那么flag在哪里呢?

(以下为Linux部分,跟取证实际上没有太大关系了)

遇事不决敲ls:

然后就是大家喜闻乐见的cat flag环节:

秒了,没什么好说的(

至于旁边的hint嘛…

这是留给你们的实操题

流量

ps:我是不是可以直接抄迎新赛wp啊(

设计思路:纯usb-hid流量,直接用脚本梭掉即可

https://github.com/p0ise/pcap2text

  • 版权声明: 本博客所有文章除特别声明外,著作权归作者所有。转载请注明出处!
  • Copyrights © 2023-2026 rhzhr's blog
  • 访问人数: | 浏览次数:

请我喝杯咖啡吧~

支付宝
微信