Chia sẻ kinh nghiệm làm Forensic basic cho người mới chơi CTF

Thảo luận trong 'Thảo luận các cuộc thi CTF khác' bắt đầu bởi Sugi_b3o, 24/11/16, 12:11 AM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 242
    Đã được thích: 189
    Điểm thành tích:
    43
    Mình xin viết một bài viết cơ bản về forensic chia sẻ cho những bạn mới chơi CTF có cái nhìn tổng quan về Forensic nói chung và có hướng đi phù hợp hơn trong quá trình chơi CTF.

    1 Xác định đúng phần mở rộng
    Theo mình việc đầu tiên là phải xác định đúng ban tổ chức cho mình cái gì ? Từ đó mới biết được mình cần phải làm gì ?
    Sử dụng lệnh file + tên file ta sẽ biết được thông tin từ header của file cung cấp.

    [​IMG]



    Tuy nhiên, đã là cuộc thi thì phải có bẫy nên để chắc ăn các bạn nên mở file dưới dạng Hex xem header (thường là 4 bytes đầu) và so sánh với trang Signature file để biết được phần header là chính xác hay chưa

    [​IMG]




    2. Giải nén file
    Sau khi đã xác định được phần mở rộng thì thường sẽ rơi vào 2 trường hợp là file gốc (pcap, pcapng, jpg, png, img,….) hoặc file bị nén dưới các dạng (tar, gz, zip, 7z, bz2 …..) thì bạn phải tìm cách giải nén trên môi trường linux, windows, macos

    HTML:
    tar -xvf file.tar
    HTML:
    tar -zxvf file.tar.gz
    HTML:
    tar -xjvf file.tar.bz2
    HTML:
    bzip2 -d filename.bz2
    HTML:
    unzip file.zip

    3. Thu thập thông tin về file
    Tiếp theo cần thu thập thông tin về file cần phân tích như exiftool, strings, hex,..... Bạn phải thu thập thông tin để xem file có những thông tin nào đặc biệt hay không

    [​IMG]




    Ví dụ trong hình này là mục Artist : có nội dung chứa một đoạn base64​






    Các dạng Forensic thường gặp

    1 Image (ổ đĩa)
    Sau khi xác định được file được cho là ổ đĩa phải tiến hành mount ổ đĩa trên linux để tiến hành phân tích với câu lệnh
    HTML:
      mount filename.img -t vfat -o loop,ro,noexec /mnt 
    hoặc dùng Autopsy, FTK Image để khôi phục tập tin trong ổ đĩa

    [​IMG]



    Writeup: các bạn tham khảo tại đây
    Ngoài ra còn có các tool khác để trích xuất dữ liệu được ẩn trong file khác như như foremost, extundelete, binwalk, scalpel.....trên Linux.

    2 Network Forensic

    Liên quan đến việc theo dõi, giám sát, phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, sự kiện liên quan, tìm kiếm chứng cứ pháp lý, mục đích là phát hiện sự bất thường, các dấu hiệu xâm nhập trên môi trường mạng. Thường dùng các tool như wireshark, network miner, xplico đẻ phân tích nhanh các gói tin
    [​IMG]






    Writeup: có thể tham khảo thêm tại đây blog của mình

    Và có 2 dạng là USB Keyboard , USB Device (vẽ hình bằng mouse) khá là kinh điển.
    [​IMG]




    3 Memory Forensic
    Volatility phân tích bộ nhớ RAM của hệ thống sau đó tiến hành phân tích làm rõ các hành vi đã xảy ra trên hệ thống. Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập tin đang thực thi và đang lưu tạm trong bộ nhớ.

    Link tham khảo
    [​IMG]





    Các lệnh cơ bản sử dụng

    Writeup tham khảo 2 bài vòng loại matesctf của Tinduong khá là hay kết hợp một chút RE bài 1bài 2
     

    Các file đính kèm:

    • 1.png
      1.png
      Kích thước:
      30.2 KB
      Đọc:
      1,275
    • 2.jpg
      2.jpg
      Kích thước:
      47.6 KB
      Đọc:
      1,121
    • 3.png
      3.png
      Kích thước:
      63.3 KB
      Đọc:
      1,110
    • 4.jpg
      4.jpg
      Kích thước:
      50.7 KB
      Đọc:
      1,102
    • 5.jpg
      5.jpg
      Kích thước:
      82.4 KB
      Đọc:
      108
    • 6.jpg
      6.jpg
      Kích thước:
      13.2 KB
      Đọc:
      1,099
    • 7.jpg
      7.jpg
      Kích thước:
      103.3 KB
      Đọc:
      1,102
    Chỉnh sửa cuối: 01/04/17, 11:04 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. whitemask

    whitemask Wh------

    Tham gia: 24/11/16, 09:11 PM
    Bài viết: 13
    Đã được thích: 0
    Điểm thành tích:
    6
    tools là gì vậy
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. yuanctf

    yuanctf Wh------

    Tham gia: 28/08/16, 10:08 PM
    Bài viết: 10
    Đã được thích: 4
    Điểm thành tích:
    8
    Autopsy, exiftool, wireshark, volatility, ....
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 242
    Đã được thích: 189
    Điểm thành tích:
    43
    Tùy theo mỗi bài forensic sẽ dùng tools cho dạng đó, ở trên mình đã phân mục và liệt kê theo từng dạng bài cụ thể.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Sinhtulenh

    Sinhtulenh Wh------

    Tham gia: 07/11/16, 06:11 AM
    Bài viết: 4
    Đã được thích: 2
    Điểm thành tích:
    3
    Cho mình hỏi bài Challenges for004 làm như thế nào vậy bạn
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 242
    Đã được thích: 189
    Điểm thành tích:
    43
    Đây là dạng Stegano (giấu tin thông tin trong ảnh) , có thể hiểu là một dạng lai giữa crypto và forensic.
    Mình cũng biết một vài dạng cơ bản.
    Bài này mình hint cho bạn là dạng LSB.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Sinhtulenh

    Sinhtulenh Wh------

    Tham gia: 07/11/16, 06:11 AM
    Bài viết: 4
    Đã được thích: 2
    Điểm thành tích:
    3
    Mình đã tìm hiểu và tìm được 1 tool để lấy giá trị của LSB ra và đưa về text.
    Nhưng kích thước hình lớn quá nên chẳng biết flag nằm đâu cả.
    Mà không biết text đó có được mã hóa không nữa. :-w
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 242
    Đã được thích: 189
    Điểm thành tích:
    43
    Nếu bạn làm đúng hướng thì bạn sẽ nhận được đoạn text là 1 dạng mã hóa đã quen thuộc.
    Good Luck :) :)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 242
    Đã được thích: 189
    Điểm thành tích:
    43
    Mình mới fix lỗi hình ảnh trong bài này :D :D cho mọi người tham khảo
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. lcas2222

    lcas2222 New Member

    Tham gia: 21/05/17, 07:05 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    cho mình hỏi tool này là tool gì vậy, mình Google mãi k ra
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 242
    Đã được thích: 189
    Điểm thành tích:
    43
    đó là lệnh: file có sẵn trong linux nha bạn
    $: file + filename
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan