【笔记】CTF图片、文件的简单取证

最新推荐文章于 2024-09-21 20:02:52 发布
最新推荐文章于 2024-09-21 20:02:52 发布
阅读量3.5k 收藏 14
点赞数 2
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XenonL/article/details/104593692
版权
本文介绍了CTF中进行图像和文件取证的基本方法,包括GIF取证、文件取证、ZIP压缩密码爆破、MINIX文件挂载、查看十六进制内容、Magic Header识别及PCAP文件中的图片和USB键位信息提取。通过Linux命令和工具,如convert、binwalk、Wireshark等,解析隐藏在各种格式中的信息。
摘要由CSDN通过智能技术生成

原课程链接:CTF取证实战课程(入门级)- 51CTO

https://edu.51cto.com/course/15228.html

 

文件、图片取证的简单思路:

1、gif图片:提取、拼合

2、可挂载系统文件:挂载系统文件

3、未知格式文件:查看十六进制编码,可能是Magic Header的修改

4、隐藏文件:binwalk提取文件中的隐藏信息;ls -a

5、PCAP:查找敏感信息,分离文件;USB信息

6、压缩包:爆破密码

7、文本:解码,解密

 

 

GIF取证

 

情况1:Flag隐藏在GIF的某一帧中

方法:将每一帧拆分成一个单独的png

linux下,使用:

convert gif文件名 %02d.png

 这句话的意思是将gif的每一帧拆分,并按数字顺序(%02d的作用)命名。

 

情况2:Flag需要将GIF各帧上的图形拼在一起才显现出来

方法:分离再组合

第一步分离:

convert gif文件名 %02d.png

最低0.47元/天 解锁文章
Evixenon
关注
CTF-数字取证合集
admin的博客
11-27 7219
本题来自moectf的easyForensics。 下面是题目链接: https://masternoah.lanzoui.com/iFXVfsy5o3e 一、首先下载软件X-ways Forensics 我们可以了解一下e01文件文件类型。参照下面这篇文章。一句话来讲就是e01就是一个计算机某一时刻全部操作的证据文件。 封装E01文件格式说明 — 磁盘映像取证 (forensicsware.com) 二、打开文件 文件打开后是这个样子: 然后点击这个按钮,就可...
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_83974590的博客
04-11 398
将对应偏移量处的文件通过 dumpfiles 命令 dump 下来得到两个文件将 .dat 文件后缀名改为 .exe,发现是一个WinRAR自解压文件,进行自解压然后,在解压后的 \HUAWEI P40_2021-aa-bb xx.yy.zz\picture\storage\MediaTar\images 目录下得到一个加密文件 images0.tar.enc使用开源工具 kobackupdec 进行手机备份文件解密。
CTF常见隐写
yu06125的博客
09-15 1147
搜集了网上常见的隐写术以及自己做题总结的经验。
ctf必备-foremost图片隐写提取工具多平台版 隐写术提取工具 mac linux win三版本 附带源码.zip
07-11
foremost图片隐写提取工具多平台版 隐写术提取工具 mac linux win三版本 附带源码
CTF——之MISC杂项
最新发布
H29908的博客
09-21 406
day1.png与day2.png为两个给出的相似图片,flag.png为输出图片。打开图片文件分析,文件头查看是否与文件名相符。(比如文件的属性里的详细信息)。打开图片,按右方向键查看各通道显示的图像。之类的动图进行分解,动图变成一张张图片。且用于查看文件中隐写文件的命令)。数据抽取,提取图片中隐藏数据。判断图片中是否隐写zip文件文件格式,查看图片的具体信息。,是否残缺,进行判断修复。打开,将文件头开始数的第。键查看各通道显示的图像。通道信息,在这三个颜色的。三原色的最低位隐写,
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 2927
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
CTF题记——取证小集合
m0re's blog
11-07 6657
前言 最近接触到的取证类题目很多,所以就总结一下这类题。 不得不提的是Volatility这个神器,本次学习,结合几个题目总结一下命令使用。还有一些大师傅的博客学来的知识。 "食用"方法 判断镜像信息,获取操作系统类型 volatility -f ?.img/raw/... imageinfo 知道操作系统类型后,用–profile指定 volatility -f ?.img --profile=... 查看当前显示的notepad文本 volatility -f file.raw --profile
CTF取证技术实战,图片文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 2261
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
ctf笔记 杂项 web 密码学基础笔记
07-05
CTF竞赛中,文件分离是一项常见的技能,用于从复合文件中提取有用的数据。 - **Binwalk**: 是一个强大的工具,可以用来识别文件中的多种格式,并从中提取数据。 - 使用命令`binwalk -e name`,其中`name`为待...
CTF Web学习笔记
01-11
CTF取证技术** 这里提到的取证技术实际上与密码学及编码的部分内容有所重叠,主要指通过对密文或编码内容进行分析来获取flag的过程。但在实际比赛中,这可能还涉及到对日志文件、系统配置文件等进行深入分析以找...
CTF简单笔记
bmovo的博客
10-06 1768
CTF简单笔记: 远程开启kali桌面命令:sudo /etc/init.d/xrdp start CTF:①Misc:杂项 ②Crypto:密码安全 ③Web安全 ④Reverse:逆向工程 ⑤Pwn #杂项: 1、文件操作与隐写 2、图片隐写术 3、压缩文件处理 4、流量取证技术 1、文件操作与隐写 #命令就是一个对应的工具,只是这个工具没有对应的图形化界面而已 (1)、Fi...
BMZCTF:内存取证三项(数字取证)
zip471642048的博客
04-22 1025
文章目录内存取证查看imageinfo查看所有活动进程查看下cmd.exe的使用情况发现个压缩包,文件扫描出文件在内存的位置dump出文件在当前目录修改为zip后缀寻找压缩包密码猜测压缩包密码得到flag 内存取证 内存取证三项.txt 一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑
CTF中的取证分析:数字证据的收集与解读
weixin_65409651的博客
08-26 1012
取证分析(Forensics)在CTF竞赛中模拟了数字证据的收集与分析过程。取证的目标是从系统、网络、文件等数据中提取关键信息,用以恢复事件的全过程或发现隐藏的证据。取证分析不仅仅是在CTF中的挑战,也是真实网络安全事件响应中的重要步骤。
CTF-MISC刷题-图片
sinawen的博客
12-23 2538
Stegseek是迄今为止全世界最快的Steghide破解器,该工具每秒能够处理数百万的密码。虽然Stegseek是一款轻量级工具,但丝毫不影响其功能性的强大。该工具作为原始Steghide项目的一个分支而构建,它的速度比其他破解器快上千倍。在该工具的帮助下,广大研究人员可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。除此之外,Stegseek还可以用来提取Steghide的元数据,我们可以利用这些信息来判断一个文件中是否包含了Steghide数据。
CTF文件
YkingH的博客
07-08 993
CTF文件包含 文件包含漏洞 定义:在通过php函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入 危险函数 include() include_once() require() require_once() 解题思路 本地文件包含:直接读取目标机上的Flag文件 远程文件包含:指定第三方服务器上可运行的PHP木马,拿到webshell,查看flag文件 php.ini allow_url_fopen = on/off 允许ur
CTF取证方法大汇总,建议收藏!
caoyongsheng的博客
08-17 3190
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的挑战可能包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析等。检查和处理静态数据文件,而..
python gifctf_一个 ctf 上抠出来的 Python 代码,求大家解析
weixin_39906114的博客
12-09 259
一个 ctf 上抠出来的 python 代码,求大家解析,在第 5 行用到了乱七八糟的东东。不知何意。另:这个 ctf 是来分析一个 pcab 包,来还原攻击行为,有没有兴趣的朋友加入,我找到了 2 个 flag ,感觉很有趣,有兴趣可 PM 我。#!/usr/bin/env pythonfrom itertools import cycle, izipimport base64, sysimpo...
CTF-Misc 文件类型 详细解
hustle28214的博客
09-21 2826
题目的关键就在于识别十六进制——掌握BASE64的可打印字符——记住要去掉逗号和括号。看到46ESAB,猜想是BASE64编码,但是。看到出现了A-F的字符,初步判定是十六进制,即hex文件。攻防世界下载附件,如图。另存为zip文件,找到了flag.txt,夺旗成功!初次接触CTF的Misc方向,在这里详细记录一下。
CTF常见文件类型的文件
qq_62376678的博客
10-16 859
ctf的misc杂项部分经常遇到一些需要通过文件头去判别文件类型的题目。下图为一些常见类型的文件头。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值