CTF 取证类题目指南
取证类题目
在 CTF 中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。
任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取
隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码
类赛题)。
取证作为 CTF 中的一大类题目,不完全包括安全产业中的实际工作,常见的与
之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执
法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商
业事故相应企业。
与大多数 CTF 取证题目不同,现实生活中的计算机取证任务很少会涉及巧妙的
编码、隐藏数据、层层嵌套的文件中的文件,或是其他脑洞类的谜题。很多时
候刑事案件需要的是精心恢复一个被破坏的 PNG 文件,根据一张照片或 QR 码来
解码获取包含 NES 只读内存镜像来输出证据的压缩包密码。也就是说,现实的
取证需要从业者能够找出间接的恶意行为证据:攻击者攻击系统的痕迹,或是
内部威胁行为的痕迹。实际工作中计算机取证大部分是从日志、内存、文件系
统中找出犯罪线索,并找出与文件或文件系统中数据的关系。而网络(流量抓
包)取证比起内容数据的分析,更注重元数据的分析,也就是当前不同端点间
常用 TLS 加密的网络会话。
CTF 竞赛中的取证类谜题和实际生活中的工作关联较少的原因可能在于这类题
目并不像漏洞利用一类的题目受到人们的注意。也有可能是它很少吸引黑客们
来参与解答此类题目。不管怎么样,许多参赛者都喜欢解答 CTF 中各种简单多
样化的取证题目,考虑到大多数参赛者没有能够在可执行文件分析大赛中带来
巨大优势的售价 5000 美元的带有 Hex-Rays 反编译器的 IDA Pro 专业版,这类
题目还是相对适合入门新手来做的。
需要的技术
下列三种能力是解答取证类 CTF 题目中最常用到的:
• 掌握一门脚本语言(例如 python)
• 掌握如何使用该语言来操作二进制数据(涉及到字节的操作)
• 认识各类文件格式、协议、结构和编码
前两类技术你可以在 CTF 外自行学习,而第三种则只能在实战中不断熟练。好
在通过本文档,你可以有个大致的了解。
剩余13页未读,继续阅读
评论0