Một số khái niệm cơ bản và công cụ cần thiết trong các thử thách CTF forensics

RESEARCH CREW
7:24 08/11/2020

 


Bài viết này giới thiệu tổng quan về một số khái niệm phổ biến trong các thử thách CTF của forensics và một số công cụ được khuyến nghị dùng để thực hiện các tác vụ phổ biến để giải những bài CTF dạng điều tra, tìm bằng chứng.

Xác định đúng định dạng tập tin

Người chơi được cho một tập tin và không có thông tin đi kèm, khi đó cần xác định đúng định dạng của tập tin được cho bằng cách:
1. Sử dụng lệnh 𝚏𝚒𝚕𝚎 để xác định dựa vào 𝘮𝘢𝘨𝘪𝘤 𝘣𝘺𝘵𝘦𝘴 (Các byte nhận dạng ở header của tập tin)
2. Mở tệp dưới dạng hex và xem header, so sánh với các 𝘧𝘪𝘭𝘦 𝘴𝘪𝘨𝘯𝘢𝘵𝘶𝘳𝘦 để biết chính xác định dạng của tập tin.
Tuy nhiên, vẫn có khả năng tập tin này chứa các tệp khác được nén trong nó. Khi đó việc xác định như 2 cách trên không giúp ta tìm được dữ liệu ẩn.


Khôi phục các tập tin


𝑭𝒊𝒍𝒆 𝒄𝒂𝒓𝒗𝒊𝒏𝒈 (Kỹ thuật phục hồi các tệp chỉ dựa vào cấu trúc và nội dung tệp, không có 𝘴𝘺𝘴𝘵𝘦𝘮 𝘮𝘦𝘵𝘢𝘥𝘢𝘵𝘢 phù hợp).
Tệp lồng tệp (𝘧𝘪𝘭𝘦𝘴-𝘸𝘪𝘵𝘩𝘪𝘯-𝘧𝘪𝘭𝘦𝘴) là một dạng bài thường thấy trong CTF Forensics. 𝚋𝚒𝚗𝚠𝚊𝚕𝚔, 𝚏𝚘𝚛𝚎𝚖𝚘𝚜𝚝 là những tool thường được sử dụng.
Người chơi cũng có thể trích xuất thủ công một phần của tệp bằng lệnh 𝚍𝚍 hoặc sử dụng tính năng sao chép của các ℎ𝑒𝑥 𝑒𝑑𝑖𝑡𝑜𝑟.


Phân tích ban đầu

Sử dụng các lệnh như 𝚜𝚝𝚛𝚒𝚗𝚐𝚜, 𝚑𝚎𝚡, 𝚎𝚡𝚒𝚏𝚝𝚘𝚘𝚕, 𝚐𝚛𝚎𝚙, 𝚋𝚐𝚛𝚎𝚙,... để tìm kiếm các thông tin đặc biệt.
 𝐹𝑖𝑙𝑒 𝑏𝑖̣ 𝑛𝑒́𝑛: Đối với các file bị nén (thường gặp nhất là .zip), có một số câu lệnh thường dùng: 𝚞𝚗𝚣𝚒𝚙 (giải nén), 𝚣𝚒𝚙𝚍𝚎𝚝𝚊𝚒𝚕𝚜 -𝚟 (thông tin chi tiết), 𝚏𝚌𝚛𝚊𝚌𝚔𝚣𝚒𝚙 (brute-force đoán password đối với các password <7 ký tự)...
𝐹𝑖𝑙𝑒 ℎ𝑖̀𝑛ℎ 𝑎̉𝑛ℎ: Có thể dùng 𝚎𝚡𝚒𝚏𝚝𝚘𝚘𝚕 (các thông tin bên trong tệp), 𝚙𝚗𝚐𝚌𝚑𝚎𝚌𝚔 (đối với file png), 𝚜𝚝𝚎𝚐𝚜𝚘𝚕𝚟𝚎, 𝚣𝚜𝚝𝚎𝚐 (có thể đây là một bài stego), 𝚐𝚒𝚖𝚙. Riêng đối với các mã QR, có thể cần sử dụng module 𝚚𝚛𝚝𝚘𝚘𝚕𝚜 của Python.
𝐹𝑖𝑙𝑒 𝑃𝐶𝐴𝑃: Sử dụng 𝚠𝚒𝚛𝚎𝚜𝚑𝚊𝚛𝚔 (𝚝𝚜𝚑𝚊𝚛𝚔).
𝑁𝑔𝑜𝑎̀𝑖 𝑟𝑎 𝑐𝑜̀𝑛 𝑐𝑜́ 𝑛ℎ𝑖𝑒̂̀𝑢 𝑑𝑎̣𝑛𝑔 𝑏𝑎̀𝑖 𝑣𝑜̛́𝑖 𝑐𝑎́𝑐 𝑙𝑜𝑎̣𝑖 𝑓𝑖𝑙𝑒 𝑘ℎ𝑎́𝑐...


Mã hóa nhị phân dưới dạng văn bản (Binary-as-text encodings)

Có thể dữ liệu nhị phân trong tệp đang được mã hóa với base64, hex,... Có thể sử dụng các trang giải mã online (đã được chúng mình giới thiệu ở bài viết Crypto) hoặc dùng lệnh 𝚡𝚡𝚍.

(tiếp tục cập nhật)

 

TIN LIÊN QUAN
General skills: Những bài đơn giản nhất để làm quen Dưới đây là những bài đơn giản nhất để làm quen với CTF. Mình cam đoan bạn không cần phải qua bất kì môn nào để thực hành những bài này, chỉ cần 10p tìm hiểu là có thể giải...
Các dự án trên Xcode đang được khai thác để lan truyền một dạng phần mềm độc hại trên Mac có nguy cơ xâm phạm Safari và các trình duyệt khác   Trend Micro cho biết: các nhóm phần mềm độc hại XCSSET đã được tìm thấy trong các dự...
(Ceberus: Banking malware mới xuất hiện trên các thiết bị android) Sau một số Trojan Android nổi tiếng như: Anubis, Red Alert 2.0, GM bot, Exobot, bỏ công việc kinh doang phần mềm độc hại của họ, một người chơi mới đã xuất hiện trên Internet với khả năng tương...