Forensics 這個字原本來自刑事鑑識(Forensic Science),意思是用科學的方法來蒐集與分析證據。
在資訊安全裡,Forensics(數位鑑識)就是指:
從電腦、手機、網路、檔案系統等蒐集與分析資料,找出真相或線索的過程。
舉例:
| 場景 | 舉例 |
|---|---|
| 事件調查 | 伺服器被入侵後,找出攻擊來源與攻擊時間 |
| 犯罪蒐證 | 警方從嫌犯的硬碟還原刪除資料 |
| 惡意程式分析 | 從封包或記憶體 dump 找出惡意程式行為 |
| CTF 題目 | 給你一張圖片、一個 pcap、或一個隱藏檔,從中找 flag |
Forensics 題目類型多元,以下是最常見的幾大類
從檔案中找出隱藏或遺留的資訊
常見技巧:
exiftool 看圖片拍攝時間、GPS 座標、軟體版本strings 抽出檔案內的文字binwalk 分析圖片/壓縮檔中的隱藏資料(例如藏 zip、png、flag)常見題目:
分析網路傳輸資料(pcap)」找出線索
常見工具:
.pcap 封包檔,過濾協定、找關鍵字、重組資料follow TCP stream → 看使用者實際傳了什麼資料常見題目:
重點在「對整個系統的快照做還原與調查」。
常見工具:
Autopsy / FTK Imager → 硬碟鑑識 GUI 工具strings / grep → 搜尋記憶體映像中的字串volatility / vol.py → 記憶體分析框架,能列出 process、網路連線、dump 內容常見題目:
重點在「把資料藏在另一個檔案裡(例如圖片、聲音)」。
常見技巧:
zsteg、steghide、binwalk、exiftool 進行分析常見題目:
zsteg image.png 自動抓出隱藏字串| 工具名稱 | 功能 |
|---|---|
strings |
抓出檔案裡所有可列印字元(常能找到 flag) |
xxd / Hex Editor |
查看檔案十六進位內容 |
exiftool |
查看圖片與文件的中繼資料(metadata) |
binwalk |
從檔案中偵測隱藏的壓縮包或其他檔案 |
Wireshark |
網路封包分析 GUI 工具 |
tcpdump |
封包分析 CLI 工具 |
zsteg |
分析 PNG/JPG 的隱寫內容 |
volatility |
記憶體取證框架(超強) |
Autopsy |
GUI 數位鑑識平台(磁碟分析) |
| 陷阱 | 解法 |
|---|---|
| 副檔名改掉 | 用 file 指令看真實檔案類型 |
| PNG + zip 疊在一起 | 用 binwalk 或 dd 拆 |
| flag 藏 metadata | exiftool |
| 網址裡用編碼藏資料 | URL decode / Base64 decode |
| pcap 沒過濾很亂 | 用 Wireshark 過濾協定、IP、關鍵字 |
為什麼 Forensics 這麼重要?