Forensics 這個字原本來自刑事鑑識(Forensic Science),意思是用科學的方法來蒐集與分析證據。
在資訊安全裡,Forensics(數位鑑識)就是指:
從電腦、手機、網路、檔案系統等蒐集與分析資料,找出真相或線索的過程。
舉例:
場景 | 舉例 |
---|---|
事件調查 | 伺服器被入侵後,找出攻擊來源與攻擊時間 |
犯罪蒐證 | 警方從嫌犯的硬碟還原刪除資料 |
惡意程式分析 | 從封包或記憶體 dump 找出惡意程式行為 |
CTF 題目 | 給你一張圖片、一個 pcap、或一個隱藏檔,從中找 flag |
Forensics 題目類型多元,以下是最常見的幾大類
從檔案中找出隱藏或遺留的資訊
常見技巧:
exiftool
看圖片拍攝時間、GPS 座標、軟體版本strings
抽出檔案內的文字binwalk
分析圖片/壓縮檔中的隱藏資料(例如藏 zip、png、flag)常見題目:
分析網路傳輸資料(pcap)」找出線索
常見工具:
.pcap
封包檔,過濾協定、找關鍵字、重組資料follow TCP stream
→ 看使用者實際傳了什麼資料常見題目:
重點在「對整個系統的快照做還原與調查」。
常見工具:
Autopsy
/ FTK Imager
→ 硬碟鑑識 GUI 工具strings
/ grep
→ 搜尋記憶體映像中的字串volatility
/ vol.py
→ 記憶體分析框架,能列出 process、網路連線、dump 內容常見題目:
重點在「把資料藏在另一個檔案裡(例如圖片、聲音)」。
常見技巧:
zsteg
、steghide
、binwalk
、exiftool
進行分析常見題目:
zsteg image.png
自動抓出隱藏字串工具名稱 | 功能 |
---|---|
strings |
抓出檔案裡所有可列印字元(常能找到 flag) |
xxd / Hex Editor |
查看檔案十六進位內容 |
exiftool |
查看圖片與文件的中繼資料(metadata) |
binwalk |
從檔案中偵測隱藏的壓縮包或其他檔案 |
Wireshark |
網路封包分析 GUI 工具 |
tcpdump |
封包分析 CLI 工具 |
zsteg |
分析 PNG/JPG 的隱寫內容 |
volatility |
記憶體取證框架(超強) |
Autopsy |
GUI 數位鑑識平台(磁碟分析) |
陷阱 | 解法 |
---|---|
副檔名改掉 | 用 file 指令看真實檔案類型 |
PNG + zip 疊在一起 | 用 binwalk 或 dd 拆 |
flag 藏 metadata | exiftool |
網址裡用編碼藏資料 | URL decode / Base64 decode |
pcap 沒過濾很亂 | 用 Wireshark 過濾協定、IP、關鍵字 |
為什麼 Forensics 這麼重要?