磁盘取证分析类题目的解题方法
有时候,ctf取证类赛题会提供一个完整的磁盘镜像,参赛者需要具备一定的策略在这个数据系统中需找特定的flag,在计算机取证中,这类策略往往指的是快速理清内容的能力。没有策略的的话只能耗时耗力的查看所有信息。
一般有以下几种情况:
1.覆盖文件提取
这种情况需要加载光驱文件系统镜像,类如:
mkdir /mnt/challenge
mount -t iso9660 challengefile /mnt/challenge
然后,再在镜像系统中分析数据,这里有位师傅给出了很好的例子:例子
2.已删文件恢复
解析windows/linus/mac os的内存结构,分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。笼统地说,常见的内存结构存在于这三个操作系统,常见的内存文件格式有:img\dmp\raw\vmem,然后逐层分析
还有一种方法:直接下载强力恢复软件恢复文件。
3.隐写信息提取
图片隐写:
binwalk是多重文件查看利器,直接binwalk-e文件分离,而foremost也有一样的作用,apt-get install foremost直接下载foremost,隐写信息大多会隐藏在图片的像素点里或者文件头书模块IHDR标识里
2021-03-11
最新推荐文章于 2023-12-12 22:01:06 发布