Một số khái niệm cơ bản và công cụ cần thiết trong các thử thách CTF forensics

RESEARCH CREW
7:24 08/11/2020

 


Bài viết này giới thiệu tổng quan về một số khái niệm phổ biến trong các thử thách CTF của forensics và một số công cụ được khuyến nghị dùng để thực hiện các tác vụ phổ biến để giải những bài CTF dạng điều tra, tìm bằng chứng.

Xác định đúng định dạng tập tin

Người chơi được cho một tập tin và không có thông tin đi kèm, khi đó cần xác định đúng định dạng của tập tin được cho bằng cách:
1. Sử dụng lệnh ???? để xác định dựa vào ????? ????? (Các byte nhận dạng ở header của tập tin)
2. Mở tệp dưới dạng hex và xem header, so sánh với các ???? ????????? để biết chính xác định dạng của tập tin.
Tuy nhiên, vẫn có khả năng tập tin này chứa các tệp khác được nén trong nó. Khi đó việc xác định như 2 cách trên không giúp ta tìm được dữ liệu ẩn.


Khôi phục các tập tin


???? ??????? (Kỹ thuật phục hồi các tệp chỉ dựa vào cấu trúc và nội dung tệp, không có ?????? ???????? phù hợp).
Tệp lồng tệp (?????-??????-?????) là một dạng bài thường thấy trong CTF Forensics. ???????, ???????? là những tool thường được sử dụng.
Người chơi cũng có thể trích xuất thủ công một phần của tệp bằng lệnh ?? hoặc sử dụng tính năng sao chép của các ℎ?? ??????.


Phân tích ban đầu

Sử dụng các lệnh như ???????, ???, ????????, ????, ?????,... để tìm kiếm các thông tin đặc biệt.
 ???? ??̣ ??́?: Đối với các file bị nén (thường gặp nhất là .zip), có một số câu lệnh thường dùng: ????? (giải nén), ?????????? -? (thông tin chi tiết), ????????? (brute-force đoán password đối với các password <7 ký tự)...
???? ℎ?̀?ℎ ?̉?ℎ: Có thể dùng ???????? (các thông tin bên trong tệp), ???????? (đối với file png), ?????????, ????? (có thể đây là một bài stego), ????. Riêng đối với các mã QR, có thể cần sử dụng module ??????? của Python.
???? ????: Sử dụng ????????? (??????).
????̀? ?? ??̀? ??́ ?ℎ??̂̀? ??̣?? ??̀? ??̛́? ??́? ???̣? ???? ?ℎ?́?...


Mã hóa nhị phân dưới dạng văn bản (Binary-as-text encodings)

Có thể dữ liệu nhị phân trong tệp đang được mã hóa với base64, hex,... Có thể sử dụng các trang giải mã online (đã được chúng mình giới thiệu ở bài viết Crypto) hoặc dùng lệnh ???.

(tiếp tục cập nhật)

 

TIN LIÊN QUAN
CLB An toàn Thông tin WannaW^n chia sẻ một số Challenges giải được và việc chia sẻ writeup nhằm mục đích giao lưu học thuật. Mọi đóng-góp ý-kiến bọn mình luôn-luôn tiếp nhận qua mail: wannaone.uit@gmail.com hoặc inseclab@uit.edu.vn và fanpage: fb.com/inseclab Tuần vừa qua thì mình có tham gia giải...
  Phòng thực hành Mạng - B2.04 thuộc quản lý của Phòng thí nghiệm An toàn thông tin, nhằm cung cấp môi trường thực hành Mạng cho việc giảng dạy và học tập các môn học. Để xem được liên kết và đăng ký, vui lòng đăng nhập bằng tài...