| name | ctf-forensics |
| description | CTF 数字取证与信号分析技术。当挑战提供磁盘镜像(.dd/.E01)、内存 dump(.raw/.vmem)、网络抓包(.pcap/.pcapng)、隐写图片/音频、Windows 事件日志(.evtx)时使用。覆盖 Volatility 内存分析、Wireshark 流量还原、binwalk 隐写提取、文件系统恢复等取证全链路 |
| metadata | {"tags":"ctf,forensics,取证,volatility,pcap,steganography,隐写,磁盘,内存,网络","category":"ctf"} |
CTF 数字取证
深入参考
以下参考资料按需加载,根据识别出的具体方向选择对应文件:
分类决策树
拿到取证题?
├─ 文件分析
│ ├─ file/exiftool/binwalk → 识别格式与嵌入文件
│ ├─ 图片 → steghide/zsteg/stegsolve → [references/stego-image.md](references/stego-image.md)
│ ├─ 音频 → 频谱图/DTMF/SSTV → [references/stego-advanced.md](references/stego-advanced.md)
│ └─ PDF → 元数据/隐藏文本/多层 → [references/steganography.md](references/steganography.md)
├─ 磁盘/内存镜像
│ ├─ .dd/.img → mount -o loop,ro → fls/photorec
│ ├─ .ova/.vmdk → tar xf → 7z 提取
│ ├─ 内存 → Volatility3 (pslist/filescan/dumpfiles)
│ └─ RAID/ZFS/BTRFS → [references/disk-recovery.md](references/disk-recovery.md)
├─ 网络流量 (.pcap)
│ ├─ HTTP → tshark --export-objects
│ ├─ TLS → SSLKEYLOGFILE / 弱RSA密钥
│ ├─ SMB → 密钥解密 / NTLMv2 提取
│ └─ DNS → 隐蔽通道 / 尾字节编码
├─ Windows 事件日志 → [references/windows.md](references/windows.md)
├─ 硬件信号 → [references/signals-and-hardware.md](references/signals-and-hardware.md)
└─ 区块链 → mempool.space API / 剥离链追踪
快速启动命令
file suspicious && exiftool suspicious && binwalk suspicious
strings -n 8 suspicious | grep -iE "flag|ctf"
sudo mount -o loop,ro image.dd /mnt/evidence
fls -r image.dd && photorec image.dd
vol3 -f memory.dmp windows.pslist
vol3 -f memory.dmp windows.filescan
vol3 -f memory.dmp windows.dumpfiles --physaddr ADDR
tshark -r capture.pcap -Y "http" --export-objects http,/tmp/out
隐写速查
| 格式 | 工具 | 说明 |
|---|
| JPEG | steghide / F5 检测 | DQT表/DCT系数比 |
| PNG/BMP | zsteg / stegsolve | 位平面/调色板/LSB |
| 音频 | multimon-ng / sox | DTMF/频谱/反转 |
| 视频 | 帧累积/逐帧差分 | 闪烁隐藏QR |
| PDF | exiftool + binwalk | 元数据/注释/EOF后数据 |
Windows 关键事件 ID
| ID | 含义 |
|---|
| 1102 | 审计日志清除 |
| 4720 | 用户创建 |
| 4781 | 账户重命名 |
| 21 (TSLocal) | RDP 登录成功 |
Windows 事件日志
- EVTX 分析关注时间戳(TimeCreated / SystemTime)排序关键事件
