Bài viết này giới thiệu tổng quan về một số khái niệm phổ biến trong các thử thách CTF của forensics và một số công cụ được khuyến nghị dùng để thực hiện các tác vụ phổ biến để giải những bài CTF dạng điều tra, tìm bằng chứng.
Xác định đúng định dạng tập tin
Người chơi được cho một tập tin và không có thông tin đi kèm, khi đó cần xác định đúng định dạng của tập tin được cho bằng cách:
1. Sử dụng lệnh ???? để xác định dựa vào ????? ????? (Các byte nhận dạng ở header của tập tin)
2. Mở tệp dưới dạng hex và xem header, so sánh với các ???? ????????? để biết chính xác định dạng của tập tin.
Tuy nhiên, vẫn có khả năng tập tin này chứa các tệp khác được nén trong nó. Khi đó việc xác định như 2 cách trên không giúp ta tìm được dữ liệu ẩn.
Khôi phục các tập tin
???? ??????? (Kỹ thuật phục hồi các tệp chỉ dựa vào cấu trúc và nội dung tệp, không có ?????? ???????? phù hợp).
Tệp lồng tệp (?????-??????-?????) là một dạng bài thường thấy trong CTF Forensics. ???????, ???????? là những tool thường được sử dụng.
Người chơi cũng có thể trích xuất thủ công một phần của tệp bằng lệnh ?? hoặc sử dụng tính năng sao chép của các ℎ?? ??????.
Phân tích ban đầu
Sử dụng các lệnh như ???????, ???, ????????, ????, ?????,... để tìm kiếm các thông tin đặc biệt.
???? ??̣ ??́?: Đối với các file bị nén (thường gặp nhất là .zip), có một số câu lệnh thường dùng: ????? (giải nén), ?????????? -? (thông tin chi tiết), ????????? (brute-force đoán password đối với các password <7 ký tự)...
???? ℎ?̀?ℎ ?̉?ℎ: Có thể dùng ???????? (các thông tin bên trong tệp), ???????? (đối với file png), ?????????, ????? (có thể đây là một bài stego), ????. Riêng đối với các mã QR, có thể cần sử dụng module ??????? của Python.
???? ????: Sử dụng ????????? (??????).
????̀? ?? ??̀? ??́ ?ℎ??̂̀? ??̣?? ??̀? ??̛́? ??́? ???̣? ???? ?ℎ?́?...
Mã hóa nhị phân dưới dạng văn bản (Binary-as-text encodings)
Có thể dữ liệu nhị phân trong tệp đang được mã hóa với base64, hex,... Có thể sử dụng các trang giải mã online (đã được chúng mình giới thiệu ở bài viết Crypto) hoặc dùng lệnh ???.
(tiếp tục cập nhật)
