Kali Linux取证分析之bulk-extractor

作者: 分类: 神兵利器 评论: 暂无 时间: 2017-09-07 浏览: 294 次

0x00 介绍

bulk_extractor是从数字证据文件中提取诸如电子邮件地址,信用卡号,URL和其他类型的信息的功能的程序。 它是一个有用的取证调查工具,可以用于许多任务,如恶意软件和入侵调查,身份调查和网络调查,以及图像分析和密码破解。 该程序提供了几个不寻常的功能:

 1.发现其他工具发现不了的信息,如电子邮件地址,URL和信用卡号码,得益于它能处理压缩数据(如ZIP,PDF和GZIP文件)以及不完整或部分损坏的数据。 它可以从压缩数据的片段中提取JPEG文件,办公文档和其他类型的文件 ,还可以自动检测并提取加密的RAR文件。
 2.根据数据中发现的所有单词构建单词列表,甚至可以是在未分配空间的压缩文件中的数据。 这些单词列表可用于密码破解。
 3.多线程的; 速度快节约时间
 4.分析完之后创建直方图,显示电子邮件地址,URL,域名,搜索关键词和其他类型的信息。

bulk_extractor可以对磁盘映像,文件或文件目录进行分析,并在不分析文件系统或文件系统结构的情况下提取有用的信息。 输入被分割成页面并由一个或多个扫描器处理。 结果存储在特征文件中,可以使用其他自动化工具轻松检查,解析或处理。
bulk_extractor还创建了它所发现的特征的直方图。 这样非常有用,因为诸如电子邮件地址和网络搜索关键词的功能往往很常见且重要。
除了上述功能之外,bulk_extractor还包括以下功能:

 5.具有浏览特征文件中存储的功能以及启动bulk_extractor扫描的图形用户界面的Bulk Extractor Viewer
 6.少量用于对特征文件进行额外分析的python程序

阅读全文»

Kali Linux取证分析之Binwalk

作者: 分类: 神兵利器 评论: 暂无 时间: 2017-09-07 浏览: 318 次

0x00 Binwalk介绍

Binwalk是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。 具体来说,它被设计用于识别嵌入固件镜像内的文件和代码。 Binwalk使用libmagic库,因此它与Unix文件实用程序创建的魔数签名兼容。 Binwalk还包括一个自定义魔数签名文件,其中包含常见的诸如压缩/存档文件,固件头,Linux内核,引导加载程序,文件系统等的固件映像中常见文件的改进魔数签名。

阅读全文»

EasyCTF 2017 Forensics Write Up

作者: 分类: CTF 评论: 暂无 时间: 2017-04-09 浏览: 1,125 次

作者:Jing Ling
博客:HackFun

0x02 Forensics

Mane Event

problem

My friend just got back from the plains and he took this picture with his new camera. He also told me there's a flag hidden in it - can you check it out for me?

阅读全文»

一道有趣的网络取证分析CTF题目

作者: 分类: CTF 评论: 1条 时间: 2017-02-28 浏览: 5,708 次

0x01 解题

这是一道新颖的网络取证分析的题目,用TCP协议紧急数据来隐藏发送flag,很多选手都被其中的图片带偏了方向,导致花了很多时间也没有做出来,其实刚开始我也被带入坑:-(

阅读全文»

CSAW CTF Qualification Round 2013: Misc 200 deadbeef

作者: 分类: CTF 评论: 暂无 时间: 2016-08-17 浏览: 3,414 次

0x00 题目

IMG_0707.png

0x01 解题

阅读全文»

CSAW CTF Qualification Round 2013: Misc 100 Black & White

作者: 分类: CTF 评论: 暂无 时间: 2016-08-17 浏览: 2,234 次

0x00 题目

chal.png

0x01 解题

下载图片打开发现是一片空白,图片是png格式,24位深度,一般是R、G、B通道各占8位,根据题目标题和图片文件名推测可能是一道基于LSB隐藏的隐写题目。使用stegsolve打开图片浏览R、G、B通道最低位(第0位)发现隐藏信息:

阅读全文»

Backdoor CTF 2013: 电子取证 300

作者: 分类: CTF 评论: 暂无 时间: 2016-08-04 浏览: 3,969 次

0x00 题目

H4x0r知道现在简单的文本认证在现今时代被破解根本不是事儿,如今语音认证可谓是风靡一时。因此,他决定也让他的城堡来个语音认证,可惜他不太懂这方面,现在有一个音频文件,他自己似乎无法破译,现在他需要你的帮助,你可以在这里下载这份音频文件。

找到隐藏的密码,flag就是密码的MD5值。

阅读全文»

Backdoor CTF 2013: 电子取证 250

作者: 分类: CTF 评论: 暂无 时间: 2016-08-03 浏览: 5,863 次

0x00 题目

h4x0r厌烦了你对他的城堡的所有攻击,所以他决定报复攻击你,他给你发来一封带有图片的邮件作为警告,希望你能找出他的警告消息:-)

消息的MD5值就是flag。

阅读全文»