#基础搜索

曼彻斯特/差分曼彻斯特
二进制(空格Tab/二维码)注意分组
base64(隐写(对比解码后的编码和原串):=默认删除最后八位)

工具:

Brainfuck
JPK
CTFCrack
JSfuck

#CTF中的编码

asp混淆加密
php混淆加密
js漏洞加密
VBScript,Encode混淆加密
0x03:Forensic&Steg

#常见取证对象

PCAP流量包分析
各种图片文件
音频/视频
磁盘文件
内存镜像
PDF WORO

工具:

Binwalk/Foremost 分析提取文件,自动切割文件
010 Editor/Winhex 16进制文件编辑器
File 鉴定文件类型
Strings 查看可见的字符串,一般用来找到hint
CTF姿势

#.JPG文件格式

头: FF D8 FF E0 00 10 4A 46
后缀: FFD9
1.文件尾部插入
2.每段开始前
#.PNG文件格式
头:89 50 4E 47 0D 0A 1A 0A
MoreHight:修改PNG图片的高宽 隐藏数据

#.GIF文件格式

头:GIF89a 47 49 46 38 39 61

#音频

频谱 噪音
波形(二进制/莫尔斯)
隐写(MP3Stego,Silenteye)正常音频

#ZIP文件

头:50 4B 01 02 3F 00 14 00 0(改成 00)
504B0304
核心目录伪加密
1.爆破
2.伪加密
3.明文攻击(Archrp)
4.CRC32爆破(Winrar)

#流量包

文件修复
协议分析(总体把握:协议分级,端点统计;过滤赛选:过滤语法,Host,Protocol,contains,特征值;发现异常:特殊字符串,协议某字段;数据提取:字符串取,文件提取)
数据提取

工具:

Wireshark
Pcapfix
Dshell
tshark