2021-03-11

最新推荐文章于 2023-12-12 22:01:06 发布
最新推荐文章于 2023-12-12 22:01:06 发布
阅读量139 收藏
点赞数
分类专栏: 磁盘取证 ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gonna2011/article/details/114674723
版权

磁盘取证分析类题目的解题方法
有时候,ctf取证类赛题会提供一个完整的磁盘镜像,参赛者需要具备一定的策略在这个数据系统中需找特定的flag,在计算机取证中,这类策略往往指的是快速理清内容的能力。没有策略的的话只能耗时耗力的查看所有信息。
一般有以下几种情况:
1.覆盖文件提取
这种情况需要加载光驱文件系统镜像,类如:
mkdir /mnt/challenge
mount -t iso9660 challengefile /mnt/challenge
然后,再在镜像系统中分析数据,这里有位师傅给出了很好的例子:例子
2.已删文件恢复
解析windows/linus/mac os的内存结构,分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。笼统地说,常见的内存结构存在于这三个操作系统,常见的内存文件格式有:img\dmp\raw\vmem,然后逐层分析
还有一种方法:直接下载强力恢复软件恢复文件。
3.隐写信息提取
图片隐写:
binwalk是多重文件查看利器,直接binwalk-e文件分离,而foremost也有一样的作用,apt-get install foremost直接下载foremost,隐写信息大多会隐藏在图片的像素点里或者文件头书模块IHDR标识里

笔记 基础和工具

gonna2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-Windows硬盘文件分析取证(访问的网站地址)
asd158923328的博客
08-22 1310
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 依次打开([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat,index.dat是一个由Internet Explo...
2021-08-11
weixin_45127646的博客
08-11 84
Java中JDK,JRE和JVM的关系
CTF取证总结(内存取证,磁盘取证)以及例题复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
关于CTF中的取证分析
weixin_46661122的博客
12-05 4399
什么是计算机取证? 计算机取证(Computer Forensics,又名计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信
取证导论 & Volatility入门使用——ctf公开课笔记记录
m0_75196987的博客
04-16 780
取证导论 & Volatility入门使用。——来自 长空网络实验室。不建议广泛传播。
CTF-Linux硬盘文件分析取证(MySQL连接密码)
asd158923328的博客
08-22 721
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 依次打开/root/.ash_history文件,打开.ash.history文件,发现修改密码的操作记录 验证密码后获得key ...
日志文件2021-03-11&12
03-12
标题"日志文件2021-03-11&12"表明我们处理的是两天的日志数据,即2021年3月11日和12日的记录。这些日志可能来自服务器、网络设备、应用程序或者操作系统,用于后期分析、故障排查和性能优化。 日志文件通常以文本...
eclipse-java-2021-03-R-win32-x86_64.zip
03-24
Eclipse 2021-03-R 版本是该IDE的一个重要更新,提供了最新的功能和性能优化,尤其对于Windows x86_64架构的支持。 1. **Eclipse IDE**: Eclipse是一款开源的多语言开发平台,由Eclipse基金会维护。它基于插件架构...
eclipse-embedcpp-2021-03-R-win32-x86_64.zip
03-24
这个版本是"2021-03-R",表明它是2021年3月发布的更新版本,适用于Windows 64位操作系统。Eclipse IDE的这个版本提供了丰富的工具和功能,帮助开发者高效地编写、调试和优化嵌入式应用。 首先,Eclipse IDE的核心...
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
UL 493-2021-03-11.pdf
05-27
Thermoplastic-Insulated Underground Feeder and Branch-Circuit Cables
磁盘取证——autopsy工具的使用
2301_76524931的博客
09-24 1483
网络安全磁盘取证的工具autopsy的使用。
【信安实践2】_第一站:磁盘取证
soldi_er的博客
03-03 1176
文章目录ramdisk虚拟磁盘软件的使用 ramdisk虚拟磁盘软件的使用 ramdisk(虚拟内存盘)   RAM一般指随机存取存储器,也叫主存,全称Random Access Memory。   ramdisk直译是内存磁盘,又称虚拟内存盘。虚拟内存盘是通过软件将一部分内存(RAM)模拟为硬盘来使用的一种技术。 虚拟磁盘软件Dataram ramdisk   本次使用虚拟磁盘软件:Dataram_RAMDisk / 4.4.0_RC36。   软件介绍:Dataram ramdisk是一个虚拟磁盘
磁盘取证
人饭子的博客
10-30 488
磁盘取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 一般来说取证就是收集并分析证据,并为司法行动中的展示构建事实的一个过程。但在计算机技术中,或在计算机取证技术中,取证就是通过专门的技术来发现证据的过程,这些证据可被用于确认计算机、计算机网络、相关设备、数据存储媒体是否被用于实施犯罪或未授权的活动。在计算机的取证领域...
【misc】[网刃杯 2022]玩坏的winxp --磁盘取证初探
最新发布
question55的博客
12-12 56
附件下载时vmdk文件首先尝试了vm虚拟机挂载,但是失败了,后面了解到winhex也可以挂载vmdk文件,这里我是使用DG进行磁盘分析挂载后,根据这个路径\Documents and Settings\Administrator\桌面\10个t的学习资料查找,可以看到有五张图片导出五张图片,binwalk看一下,在第五张图片中分离得到压缩包打开这个flag.png接着对这个flag.png进行binwalk分离的话还可以得到一个加密的压缩包这里有个提示,戴围脖的软件,初步判断是qq,然后没找到qq,但是有个
Ubuntu18.04磁盘取证-中难度篇
weixin_48421613的博客
11-27 1515
今日我们学习ubuntu溯源取证以及如何制作vol的profile插件
DEFCON 20 CTF 磁盘取证分析题目
蚁景网安学院
04-08 2475
这是一道取证分析题目,主要考察取证分析能力,包括磁盘文件恢复、图片文件修复、数据分析、图片隐写信息提取等。 本次实验题目地址:《DEFCON 20 CTF Quals Forensic 200》。 题目提供了一个disk.img文件,我们首先可以尝试使用DiskGenius来查看其中的文件。打开DiskGenius_4.3.exe,依次选择“硬盘”、“打开虚拟硬盘文件”菜单项,如下图所示: 使用DiskGenius打开C:\CTF\DiskForensics\4\disk.img文件之后,可以看到在磁盘
CTF-Windows硬盘文件分析取证(登陆用户的用户名)
asd158923328的博客
08-22 2086
根据题意 进入环境,下载文件,用AccessData FTK Imager挂载 在liuhua用户 找到cookies目录 打开lihua@laifudao,就发现用户名momo123了,验证后得到key
embedcpp-2021-03
10-06
embedcpp-2021-03是一个有关嵌入式C++编程的课程,于2021年3月举办。嵌入式C++编程是指在嵌入式系统中使用C++编程语言进行开发的一种方法。 在嵌入式系统中,资源通常是有限的,例如处理器速度、内存容量和存储空间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值