logo

Một số khái niệm cơ bản và công cụ cần thiết trong các thử thách CTF forensics

RESEARCH CREW
7:24 08/11/2020

 


Bài viết này giới thiệu tổng quan về một số khái niệm phổ biến trong các thử thách CTF của forensics và một số công cụ được khuyến nghị dùng để thực hiện các tác vụ phổ biến để giải những bài CTF dạng điều tra, tìm bằng chứng.

Xác định đúng định dạng tập tin

Người chơi được cho một tập tin và không có thông tin đi kèm, khi đó cần xác định đúng định dạng của tập tin được cho bằng cách:
1. Sử dụng lệnh ???? để xác định dựa vào ????? ????? (Các byte nhận dạng ở header của tập tin)
2. Mở tệp dưới dạng hex và xem header, so sánh với các ???? ????????? để biết chính xác định dạng của tập tin.
Tuy nhiên, vẫn có khả năng tập tin này chứa các tệp khác được nén trong nó. Khi đó việc xác định như 2 cách trên không giúp ta tìm được dữ liệu ẩn.


Khôi phục các tập tin


???? ??????? (Kỹ thuật phục hồi các tệp chỉ dựa vào cấu trúc và nội dung tệp, không có ?????? ???????? phù hợp).
Tệp lồng tệp (?????-??????-?????) là một dạng bài thường thấy trong CTF Forensics. ???????, ???????? là những tool thường được sử dụng.
Người chơi cũng có thể trích xuất thủ công một phần của tệp bằng lệnh ?? hoặc sử dụng tính năng sao chép của các ℎ?? ??????.


Phân tích ban đầu

Sử dụng các lệnh như ???????, ???, ????????, ????, ?????,... để tìm kiếm các thông tin đặc biệt.
 ???? ??̣ ??́?: Đối với các file bị nén (thường gặp nhất là .zip), có một số câu lệnh thường dùng: ????? (giải nén), ?????????? -? (thông tin chi tiết), ????????? (brute-force đoán password đối với các password <7 ký tự)...
???? ℎ?̀?ℎ ?̉?ℎ: Có thể dùng ???????? (các thông tin bên trong tệp), ???????? (đối với file png), ?????????, ????? (có thể đây là một bài stego), ????. Riêng đối với các mã QR, có thể cần sử dụng module ??????? của Python.
???? ????: Sử dụng ????????? (??????).
????̀? ?? ??̀? ??́ ?ℎ??̂̀? ??̣?? ??̀? ??̛́? ??́? ???̣? ???? ?ℎ?́?...


Mã hóa nhị phân dưới dạng văn bản (Binary-as-text encodings)

Có thể dữ liệu nhị phân trong tệp đang được mã hóa với base64, hex,... Có thể sử dụng các trang giải mã online (đã được chúng mình giới thiệu ở bài viết Crypto) hoặc dùng lệnh ???.

(tiếp tục cập nhật)

 

TIN LIÊN QUAN
Chúc mừng đội W1.Shark đạt giải ba trong cuộc thi Data For Life 2023
🎉 Chúc mừng đội W1.Shark gồm các bạn sinh viên ngành An toàn thông tin - Khoa Mạng máy tính và Truyền thông đã đạt giải ba trong cuộc thi Data For Life 2023! Với đề tài dự thi "Phương pháp phát hiện website lừa đảo dựa trên học sâu...
Quest for Talent: Who Will Shine mùa 1 đã kết thúc đầy rực rỡ
"𝐐𝐮𝐞𝐬𝐭 𝐟𝐨𝐫 𝐓𝐚𝐥𝐞𝐧𝐭: 𝐖𝐡𝐨 𝐖𝐢𝐥𝐥 𝐒𝐡𝐢𝐧𝐞?" là chương trình được tổ chức bởi Bộ môn An Toàn Thông Tin. Đoàn khoa Mạng máy tính và truyền thông cùng với sự hỗ trợ của Phòng thí nghiệm An toàn thông tin – UIT InSecLab. Chính thức khởi động vòng loại vào...
WannaGame Freshman 2023 | CTF Jeopardy
✨ Bạn là sinh viên mới vào trường, bạn có niềm đam mê đặc biệt đối với bảo mật và an ninh mạng, bạn muốn thử sức mình với những thử thách khó nhằn, vậy thì đây là cuộc thi dành cho bạn. 🔥 𝐖𝐀𝐍𝐍𝐀𝐆𝐀𝐌𝐄 𝐅𝐑𝐄𝐒𝐇𝐌𝐀𝐍 𝟐𝟎𝟐𝟑 là một cuộc...