2021-03-11

磁盘取证分析类题目的解题方法
有时候,ctf取证类赛题会提供一个完整的磁盘镜像,参赛者需要具备一定的策略在这个数据系统中需找特定的flag,在计算机取证中,这类策略往往指的是快速理清内容的能力。没有策略的的话只能耗时耗力的查看所有信息。
一般有以下几种情况:
1.覆盖文件提取
这种情况需要加载光驱文件系统镜像,类如:
mkdir /mnt/challenge
mount -t iso9660 challengefile /mnt/challenge
然后,再在镜像系统中分析数据,这里有位师傅给出了很好的例子:例子
2.已删文件恢复
解析windows/linus/mac os的内存结构,分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。笼统地说,常见的内存结构存在于这三个操作系统,常见的内存文件格式有:img\dmp\raw\vmem,然后逐层分析
还有一种方法:直接下载强力恢复软件恢复文件。
3.隐写信息提取
笔记 基础和工具

上一篇:30 Day Challenge Day 5 | Leetcode


下一篇:【胖猴小玩闹】智能门锁与网关:云丁鹿客智能门锁BLE通信的分析