什麼是 Forensics？

Forensics 這個字原本來自刑事鑑識（Forensic Science），意思是用科學的方法來蒐集與分析證據。
在資訊安全裡，Forensics（數位鑑識）就是指：
從電腦、手機、網路、檔案系統等蒐集與分析資料，找出真相或線索的過程。

舉例：

• 當網站被駭時，鑑識人員要從伺服器紀錄找出攻擊途徑
• 警方辦案時，會從嫌疑人的筆電或手機中找出隱藏的資料
• CTF 題目中常會給你一個壓縮包或記憶體映像，讓你從裡面挖 flag

Forensics 在資安中的應用

Forensics 的常見分析種類

Forensics 題目類型多元，以下是最常見的幾大類

1. 檔案分析（File Forensics）

從檔案中找出隱藏或遺留的資訊

常見技巧：

• 查看 metadata（中繼資料） → 例如用 exiftool 看圖片拍攝時間、GPS 座標、軟體版本
• 用 strings 抽出檔案內的文字
• 用 binwalk 分析圖片/壓縮檔中的隱藏資料（例如藏 zip、png、flag）
• 用十六進位編輯器（hex editor）觀察檔案格式與結尾

常見題目：

• flag 藏在圖片的 metadata
• zip 檔藏在 PNG 圖片裡（steghide / binwalk）
• 某些 bytes 改了 magic number

2. 網路封包分析（Network Forensics）

分析網路傳輸資料（pcap）」找出線索

常見工具：

• Wireshark → 分析 .pcap 封包檔，過濾協定、找關鍵字、重組資料
• tcpdump → CLI 抓封包或篩選
• follow TCP stream → 看使用者實際傳了什麼資料

常見題目：

• 封包裡有使用者上傳的圖片 / zip / flag
• DNS query 裡藏有編碼資訊（例如 Base32、hex）
• HTTP 封包裡出現明文帳號密碼

3. 磁碟映像 / 記憶體分析（Disk / Memory Forensics）

重點在「對整個系統的快照做還原與調查」。

常見工具：

• Autopsy / FTK Imager → 硬碟鑑識 GUI 工具
• strings / grep → 搜尋記憶體映像中的字串
• volatility / vol.py → 記憶體分析框架，能列出 process、網路連線、dump 內容

常見題目：

• 從記憶體 dump 中找出 flag
• 還原被刪掉的檔案
• 尋找惡意程式的執行痕跡

4. 隱寫術（Steganography）

重點在「把資料藏在另一個檔案裡（例如圖片、聲音）」。

常見技巧：

• LSB（最低有效位）藏資料
• PNG、JPG metadata 或 chunk 藏字串
• 壓縮包藏在圖片後段
• 用工具如 zsteg、steghide、binwalk、exiftool 進行分析

常見題目：

• flag 藏在圖片的某個 bit
• 用 zsteg image.png 自動抓出隱藏字串
• 音訊檔中藏了摩斯碼或 QR code

Forensics 工具整理

• 對工具 → 仔細觀察 → 拆出隱藏資料

Forensics 題目常見陷阱

Forensics 的價值

為什麼 Forensics 這麼重要？

• 調查能力：不只是找 flag，在實際事件中，它能找出攻擊途徑、資料外洩時間點、惡意程式行為。
• 觀察細節：Forensics 題目常常藏在最不起眼的地方（像 metadata 一行小字），訓練你的耐心與細心。
• 跨領域能力：它融合了網路、作業系統、檔案格式、密碼學的知識，是資安綜合實力的展現。