Chia sẻ kinh nghiệm làm Forensic basic cho người mới chơi CTF

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
316
446 bài viết
Chia sẻ kinh nghiệm làm Forensic basic cho người mới chơi CTF
Mình xin viết một bài viết cơ bản về forensic chia sẻ cho những bạn mới chơi CTF có cái nhìn tổng quan về Forensic nói chung và có hướng đi phù hợp hơn trong quá trình chơi CTF.

1 Xác định đúng phần mở rộng
Theo mình việc đầu tiên là phải xác định đúng ban tổ chức cho mình cái gì ? Từ đó mới biết được mình cần phải làm gì ?
Sử dụng lệnh file + tên file ta sẽ biết được thông tin từ header của file cung cấp.

1-png.1211



Tuy nhiên, đã là cuộc thi thì phải có bẫy nên để chắc ăn các bạn nên mở file dưới dạng Hex xem header (thường là 4 bytes đầu) và so sánh với trang Signature file để biết được phần header là chính xác hay chưa

2-jpg.1212




2. Giải nén file
Sau khi đã xác định được phần mở rộng thì thường sẽ rơi vào 2 trường hợp là file gốc (pcap, pcapng, jpg, png, img,….) hoặc file bị nén dưới các dạng (tar, gz, zip, 7z, bz2 …..) thì bạn phải tìm cách giải nén trên môi trường linux, windows, macos

HTML:
tar -xvf file.tar

HTML:
tar -zxvf file.tar.gz

HTML:
tar -xjvf file.tar.bz2

HTML:
bzip2 -d filename.bz2

HTML:
unzip file.zip


3. Thu thập thông tin về file
Tiếp theo cần thu thập thông tin về file cần phân tích như exiftool, strings, hex,..... Bạn phải thu thập thông tin để xem file có những thông tin nào đặc biệt hay không

3-png.1213




Ví dụ trong hình này là mục Artist : có nội dung chứa một đoạn base64​






Các dạng Forensic thường gặp

1 Image (ổ đĩa)
Sau khi xác định được file được cho là ổ đĩa phải tiến hành mount ổ đĩa trên linux để tiến hành phân tích với câu lệnh
HTML:
  mount filename.img -t vfat -o loop,ro,noexec /mnt

hoặc dùng Autopsy, FTK Image để khôi phục tập tin trong ổ đĩa

4-jpg.1214



Writeup: các bạn tham khảo tại đây
Ngoài ra còn có các tool khác để trích xuất dữ liệu được ẩn trong file khác như như foremost, extundelete, binwalk, scalpel.....trên Linux.

2 Network Forensic

Liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, sự kiện liên quan, tìm kiếm chứng cứ pháp lý, mục đích là phát hiện sự bất thường, các dấu hiệu xâm nhập trên môi trường mạng. Thường dùng các tool như wireshark, network miner, xplico đẻ phân tích nhanh các gói tin
14899399526.png







Writeup: có thể tham khảo thêm tại đây blog của mình

Và có 2 dạng là USB Keyboard , USB Device (vẽ hình bằng mouse) khá là kinh điển.
6-jpg.1216




3 Memory Forensic
Volatility phân tích bộ nhớ RAM của hệ thống sau đó tiến hành phân tích làm rõ các hành vi đã xảy ra trên hệ thống. Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập tin đang thực thi và đang lưu tạm trong bộ nhớ.

Link tham khảo
7-jpg.1217





Các lệnh cơ bản sử dụng

Writeup tham khảo 2 bài vòng loại matesctf của Tinduong khá là hay kết hợp một chút RE bài 1bài 2
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: GNaD
tools là gì vậy
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
whitemask;n61018 đã viết:
tools là gì vậy

Tùy theo mỗi bài forensic sẽ dùng tools cho dạng đó, ở trên mình đã phân mục và liệt kê theo từng dạng bài cụ thể.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cho mình hỏi bài Challenges for004 làm như thế nào vậy bạn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sinhtulenh;n61021 đã viết:
Cho mình hỏi bài Challenges for004 làm như thế nào vậy bạn

Đây là dạng Stegano (giấu tin thông tin trong ảnh) , có thể hiểu là một dạng lai giữa crypto và forensic.
Mình cũng biết một vài dạng cơ bản.
Bài này mình hint cho bạn là dạng LSB.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sugi_b3o;n61024 đã viết:
Đây là dạng Stegano (giấu tin thông tin trong ảnh) , có thể hiểu là một dạng lai giữa crypto và forensic.
Mình cũng biết một vài dạng cơ bản.
Bài này mình hint cho bạn là dạng LSB.

Mình đã tìm hiểu và tìm được 1 tool để lấy giá trị của LSB ra và đưa về text.
Nhưng kích thước hình lớn quá nên chẳng biết flag nằm đâu cả.
Mà không biết text đó có được mã hóa không nữa. :-w
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sinhtulenh;n61030 đã viết:
Mình đã tìm hiểu và tìm được 1 tool để lấy giá trị của LSB ra và đưa về text.
Nhưng kích thước hình lớn quá nên chẳng biết flag nằm đâu cả.
Mà không biết text đó có được mã hóa không nữa. :-w

Nếu bạn làm đúng hướng thì bạn sẽ nhận được đoạn text là 1 dạng mã hóa đã quen thuộc.
Good Luck :) :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình mới fix lỗi hình ảnh trong bài này :D :D cho mọi người tham khảo
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên