Misc - 学习路线 [α-1.7]

特别鸣谢: CTF-Wiki Hello-CTF k1sme4 Waterbucket (排名不分先后)

简谈 Misc

Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。

Misc 在国外的比赛中其实又被具体划分为各个小块,有

在 Misc 这一章节中,将从以下几个方面介绍这一块的知识:

Recon(信息搜集)

主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧

Encode(编码转换)

主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式

Forensic && Stego(数字取证 && 隐写分析)

隐写取证是 Misc 中最为重要的一块,包括文件分析、隐写、内存镜像分析和流量抓包分析等等,涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件,灵活利用搜索引擎获取所需要的信息等等。

CTF 中 Misc 与现实中的取证不同,现实中的取证很少会涉及巧妙的编码加密,数据隐藏,被分散嵌套在各处的文件字符串,或是其他脑洞类的 Challenge。很多时候是去精心恢复一个残损的文件,挖掘损坏硬盘中的蛛丝马迹, 或者从内存镜像中抽取有用的信息。

现实的取证需要从业者能够找出间接的恶意行为证据:攻击者攻击系统的痕迹,或是内部威胁行为的痕迹。实际工作中计算机取证大部分是从日志、内存、文件系统中找出犯罪线索,并找出与文件或文件系统中数据的关系。而流量取证比起内容数据的分析,更注重元数据的分析,也就是当前不同端点间常用 TLS 加密的网络会话。

Misc 是切入 CTF 竞赛领域、培养兴趣的最佳入口。Misc 考察基本知识,对安全技能的各个层面都有不同程度的涉及,可以在很大程度上启发思维。

思维导图

各种常见考点

信息搜集

建议移步 桶✌ 的Web入门查看 桶✌ 写的很详细了 说赞美桶✌

编码

压缩包

压缩包爆破

常用工具:

常见题型:

伪加密修复

常用工具:

进阶题型 - 已知明文字节爆破

隐写

图片隐写

通道隐写

在图片的一些通道当中隐藏信息 最常见的考点之一

常用工具:

LSB 隐写

将信息隐写到图片的像素中,同时不影响图片的肉眼观察 是最常见的隐写之一

常用工具:

EXIF 信息隐写

将信息隐写到图片的各个 EXIF信息 如拍摄地点,拍摄时间中

常用工具:

宽高隐写

通过修改图片的宽高数据使其无法完全显示来达到隐藏部分图片的目的 可以手动改宽高试试或者 CRC 爆破宽高

常用工具:

盲水印隐写

盲水印是一种肉眼不可见的水印方式,可以保持图片美观的同时,保护版权,隐藏式的水印是以数字数据的方式加入音频、图片或影片中,但在一般的状况下无法被看见

有双图盲水印和单图盲水印

常用工具:

工具隐写

利用各种网上已成熟的隐写工具进行隐写

常用工具:

漏洞隐写

利用一些漏洞进行隐写 比如著名的 Win10 截图漏洞

音频隐写

频谱隐写

常用工具:

波形隐写

常用工具:

工具隐写

利用各种网上已成熟的隐写工具进行隐写

常用工具:

流量包分析

流量分析与取证在 misc 中也是较为常见的题目,流量分析主要是根据元数据(不是通信内容本身)识别对手活动和通信模式,每条记录多达几兆字节的全部活动内容,可能只产生 100 字节的元数据,如端点(包括 ip 地址和域名)、端口、收发字节数、连接时长及起止时间,我们将这样一组元数据成为“网络流”(network flows)。

常用工具:

内存取证

内存取证在 ctf 比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件

对于 ctf 比赛中所接触到的内存取证,选手大多拿到的都是已经提取好的内存镜像文件,也就是内存数据的原始完整拷贝,这已经从开局就大大简化了内存取证的难度,并不需要选手去考虑如何获取内存数据的完整镜像。而选手接下来所要面对的,就是对内存数据进行解析。对于内存数据,最为常用的工具便是 Volatility Framework ,其为 Volatility Foundation 所开发的一款对内存取证分析提供支持的框架,对多平台电子设备的内存数据均提供了支持,并且也支持加载第三方模块来增加功能。

常用工具: