CTF Forensics Field Guide · Mike's Blog
取证的挑战可能包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析等。检查和处理静态数据文件,而不是可执行程序或远程服务器的隐藏信息,这其中任何挑战都可以被认为一个取证挑战,除非它涉及密码学,在这种情况下它可能属于Crypto类别。
取证是一个非常宽泛的CTF类别概念,因为这个叫法不能很好对应到安全行业中的特定工作角色,尽管一些挑战模拟了事件响应(IR)中看到的任务种类,即使在IR工作中,计算机取证通常是执法人员为了寻求证据数据和归属而做的事,很少有人是为了预防被攻击或仅仅是为了恢复系统完整性的商业行为。
分析内存:Volatility、取证大师
文件恢复:testdisk
从磁盘中提取需要的信息
例子
磁盘恢复