提供资料:
Wireshark 基本语法,基本使用方法,及包过虑规则 : https://blog.csdn.net/qq_17457175/article/details/53019490ctf 常见流量分析题目类型 : https://ctf-wiki.org/misc/traffic/introduction/windows 日志 : https://joner11234.github.io/article/4824f591.html
流量包分析:
CTF 比赛中, 流量包的取证分析是另一项重要的考察方向。
通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。
PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。
总的来说有以下几个步骤:
- 总体把握
- 协议分级
- 端点统计
- 过滤赛选
- 过滤语法
- Host,Protocol,contains,特征值
- 发现异常
- 特殊字符串
- 协议某字段
- flag 位于服务器中
- 数据提取
- 字符串取
- 文件提取
总的来说比赛中的流量分析可以概括为以下三个方向:
- 流量包修复
- 协议分析
- 数据提取
web流量分析:
web流量分析基本套路:
- 流量分析传输了数据:zip rar png jpg txt mp3,特别是流量包比较大时需要注意
- binwalk分离文件,grep或者wireshark内ctrl+f搜索
- 分情况使用导出对象,导出分组字节流,原始数据
- 搜索时可以看情况搜索分组详情、分组字节流
- 查看包间的差异,可以按大小排列数据包等
- png在流量中经常以base64形式出现
- 如果有TLS,要么找密钥,要么看别的协议
windows日志分析:
电子取证
日志文件也就是Windows中自带的日志记录程序生成的文件,其中记录着Windows系统及其各种服务运行的细节,如各种系统服务的启动、运行、关闭等信息,它是用于帮助系统管理员在其计算机上发现并解决问题,另外它对于取证和应急响应起着非常重要的作用。
日志简介
Windows系统默认以二进制XML Windows事件日志记录格式(由.evtx扩展名指定)将日志存储在%SystemRoot%\System32\Winevt\logs目录中。日志也可以使用日志订阅远程存储。对于远程日志记录,运行Windows Event Collector服务的远程系统订阅其他系统生成的日志。
日志类型
不同类型的日志放在不同的位置,这里主要介绍三种日志,应用程序日志、安全日志以及系统日志,其中这三种日志记录的位置和记录信息如下
默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
