iT邦幫忙

2025 iThome 鐵人賽

DAY 30
0
Security

從0基礎開始起飛,一起一步步踏入資安系列 第 30

[ Day 30 ] Forensics簡介以及有關Forensics的CTF類型、工具整理

  • 分享至 

  • xImage
  •  

什麼是 Forensics?

Forensics 這個字原本來自刑事鑑識(Forensic Science),意思是用科學的方法來蒐集與分析證據。
在資訊安全裡,Forensics(數位鑑識)就是指:
從電腦、手機、網路、檔案系統等蒐集與分析資料,找出真相或線索的過程。

舉例:

  • 當網站被駭時,鑑識人員要從伺服器紀錄找出攻擊途徑
  • 警方辦案時,會從嫌疑人的筆電或手機中找出隱藏的資料
  • CTF 題目中常會給你一個壓縮包或記憶體映像,讓你從裡面挖 flag

Forensics 在資安中的應用

場景 舉例
事件調查 伺服器被入侵後,找出攻擊來源與攻擊時間
犯罪蒐證 警方從嫌犯的硬碟還原刪除資料
惡意程式分析 從封包或記憶體 dump 找出惡意程式行為
CTF 題目 給你一張圖片、一個 pcap、或一個隱藏檔,從中找 flag

Forensics 的常見分析種類

Forensics 題目類型多元,以下是最常見的幾大類

1. 檔案分析(File Forensics)

從檔案中找出隱藏或遺留的資訊

常見技巧:

  • 查看 metadata(中繼資料) → 例如用 exiftool 看圖片拍攝時間、GPS 座標、軟體版本
  • strings 抽出檔案內的文字
  • binwalk 分析圖片/壓縮檔中的隱藏資料(例如藏 zip、png、flag)
  • 用十六進位編輯器(hex editor)觀察檔案格式與結尾

常見題目:

  • flag 藏在圖片的 metadata
  • zip 檔藏在 PNG 圖片裡(steghide / binwalk)
  • 某些 bytes 改了 magic number

2. 網路封包分析(Network Forensics)

分析網路傳輸資料(pcap)」找出線索

常見工具:

  • Wireshark → 分析 .pcap 封包檔,過濾協定、找關鍵字、重組資料
  • tcpdump → CLI 抓封包或篩選
  • follow TCP stream → 看使用者實際傳了什麼資料

常見題目:

  • 封包裡有使用者上傳的圖片 / zip / flag
  • DNS query 裡藏有編碼資訊(例如 Base32、hex)
  • HTTP 封包裡出現明文帳號密碼

3. 磁碟映像 / 記憶體分析(Disk / Memory Forensics)

重點在「對整個系統的快照做還原與調查」。

常見工具:

  • Autopsy / FTK Imager → 硬碟鑑識 GUI 工具
  • strings / grep → 搜尋記憶體映像中的字串
  • volatility / vol.py → 記憶體分析框架,能列出 process、網路連線、dump 內容

常見題目:

  • 從記憶體 dump 中找出 flag
  • 還原被刪掉的檔案
  • 尋找惡意程式的執行痕跡

4. 隱寫術(Steganography)

重點在「把資料藏在另一個檔案裡(例如圖片、聲音)」。

常見技巧:

  • LSB(最低有效位)藏資料
  • PNG、JPG metadata 或 chunk 藏字串
  • 壓縮包藏在圖片後段
  • 用工具如 zstegsteghidebinwalkexiftool 進行分析

常見題目:

  • flag 藏在圖片的某個 bit
  • zsteg image.png 自動抓出隱藏字串
  • 音訊檔中藏了摩斯碼或 QR code

Forensics 工具整理

工具名稱 功能
strings 抓出檔案裡所有可列印字元(常能找到 flag)
xxd / Hex Editor 查看檔案十六進位內容
exiftool 查看圖片與文件的中繼資料(metadata)
binwalk 從檔案中偵測隱藏的壓縮包或其他檔案
Wireshark 網路封包分析 GUI 工具
tcpdump 封包分析 CLI 工具
zsteg 分析 PNG/JPG 的隱寫內容
volatility 記憶體取證框架(超強)
Autopsy GUI 數位鑑識平台(磁碟分析)
  • 對工具 → 仔細觀察 → 拆出隱藏資料

Forensics 題目常見陷阱

陷阱 解法
副檔名改掉 file 指令看真實檔案類型
PNG + zip 疊在一起 binwalkdd
flag 藏 metadata exiftool
網址裡用編碼藏資料 URL decode / Base64 decode
pcap 沒過濾很亂 用 Wireshark 過濾協定、IP、關鍵字

Forensics 的價值

為什麼 Forensics 這麼重要?

  • 調查能力:不只是找 flag,在實際事件中,它能找出攻擊途徑、資料外洩時間點、惡意程式行為。
  • 觀察細節:Forensics 題目常常藏在最不起眼的地方(像 metadata 一行小字),訓練你的耐心與細心。
  • 跨領域能力:它融合了網路、作業系統、檔案格式、密碼學的知識,是資安綜合實力的展現。

上一篇
[ Day 29 ] 上篇的http補充、418茶壺事件
系列文
從0基礎開始起飛,一起一步步踏入資安30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言