本文适合
已经理解 流量包基础 和 文件头、文件尾与真实类型 的 Misc 学习者。学完你能:识别 USB/HID 抓包,导出键盘或鼠标数据,用脚本还原输入内容、鼠标轨迹或隐藏图形
2025/12/15大约 5 分钟
本文适合
拿到 PDF、docx、xlsx、pptx、doc、xls 或可疑办公文档后,需要检查元数据、隐藏文本、对象流、宏和嵌入文件的 Misc 学习者。学完你能:把文档当作结构化容器分析,提取文本、对象、宏、附件和隐藏资源,并说明 flag 位于哪一层结构
PDF 和 Office 文档不是单纯“能打开的文件”。它们内部有结构、对象、资源、元数据、脚本和压缩内容,CTF 中经常把信息藏在这些层里。
一句话判断
2025/12/9大约 5 分钟
本文适合
拿到 GIF、APNG、MP4、AVI、WebM 或动态图片后,需要分析帧、时间、透明层、音轨和容器结构的 Misc 学习者。学完你能:把动态文件拆成帧序列,验证帧差、帧延迟、帧重组、音轨和容器隐藏,并给出可复现提取过程
GIF 和视频题的核心是“时间维度”。单帧看不出问题时,信息可能藏在帧顺序、帧差异、透明层、时间间隔或累计效果里。
一句话判断
动态文件单帧看不出异常时,按“拆帧、看差异、看时间、看透明层、看音轨、看容器”的顺序处理,不要只截图第一帧。
2025/12/3大约 6 分钟
本文适合
拿到 WAV/MP3/FLAC/视频音轨后,需要判断频谱、DTMF、摩斯、声道差异或音频隐写的 Misc 学习者。学完你能:用波形、声谱图、频率峰值和声道对照验证隐藏方式,并把解出的数字/文本继续转换成 flag
音频题不只靠听。很多信息藏在频域、声谱图、双音多频按键、左右声道差异或采样数据中。
一句话判断
音频题先不要只靠耳朵听;如果波形、频谱、声道、节奏、倒放或元数据异常,就把声音转成可观察的图、频率表和样本数据来验证。
2025/11/30大约 5 分钟
本文适合
已经能识别文件真实类型、需要处理 ZIP/RAR/7z/tar、密码、伪加密、损坏和多层嵌套的学习者。学完你能:判断压缩包失败的真实原因,按层记录提取链,并用密码来源、伪加密修复或已知明文攻击推进题目
压缩包题是 Misc 里最常见的基础题型之一。它不只是“解压文件”,还包括格式识别、伪装、损坏修复、密码爆破和多层嵌套。
一句话判断
看到压缩包、PK、Rar!、多层附件、解压失败、密码提示或“套娃”时,先区分真实加密、伪加密、损坏、分卷和嵌套,再按层验证而不是盲目爆破。
2025/11/27大约 5 分钟
本文适合
已经会用 file、exiftool、binwalk 做基础附件检查的 Misc 学习者。学完你能:判断图片是否可能存在像素/通道/LSB 隐写,用工具和脚本提取 bit,并把提取结果继续归类为文本、二维码、压缩包或二进制文件
图片隐写题常常不是“看图猜字”,而是利用图片文件中像素、颜色通道、透明度或帧之间的细微差异藏信息。理解像素结构,是做图像 Misc 的基础。
2025/11/21大约 5 分钟
本文适合
CTF Misc 入门学习者。学完你能:从 Web、系统或安全日志中建立时间线,定位异常 IP、路径、状态码、命令和 flag 片段,并说明证据如何拼接
日志记录系统、应用、网络或用户行为。CTF 中的日志题通常要求从大量正常记录中找异常事件、攻击路径、flag 片段或关键时间线。
一句话判断
看到 access.log、auth.log、syslog、evtx、审计记录或大量请求时,不要先搜最终答案;先按时间、来源、动作和结果建表,再从异常聚合中定位攻击链或 flag 片段。
2025/11/18大约 5 分钟
本文适合
CTF Misc 入门学习者。学完你能:从 pcap/pcapng 中判断协议、还原会话、提取对象,并说明每一步证据来自哪个过滤器或 TCP 流
流量包记录的是网络通信过程。CTF 中的 pcap、pcapng 文件经常藏着登录凭据、上传文件、下载内容、命令交互或分片数据。
一句话判断
看到 pcap、pcapng、Wireshark 截图、HTTP 上传下载、DNS 查询、TCP 交互或“还原通信过程”提示时,先把流量按协议、主机、会话和对象分层,再从可读明文或可重组文件里找 flag。
2025/11/9大约 6 分钟