跳至主要內容
TLS/SSL 流量分析

本文适合

已掌握基本流量分析的学习者。学完你能:判断 TLS 流量能否解密,使用 SSLKEYLOGFILE 或私钥还原明文,并在无法解密时提取 SNI、证书、版本、套件和流量侧信道线索

一句话判断

看到 HTTPS/TLS Application Data 时,不要直接放弃;先判断是否有 key log、服务器私钥、会话密钥、弱配置或明文侧信道,再决定解密、元数据分析或转其他证据源。

题目中常见信号

枫桥2025/12/12大约 5 分钟CTFMiscMiscMisc-进阶
区块链取证

本文适合

已经理解 日志分析基础编码、哈希与加密,并知道地址、交易哈希、合约和事件这些基本概念的 Misc 学习者。学完你能:从交易哈希、地址、事件日志、calldata 和 storage 中还原资金流、状态变化或隐藏数据

枫桥2025/11/15大约 6 分钟CTFMiscMiscMisc-进阶
内存取证基础

本文适合

CTF Misc 入门学习者。学完你能:用 Volatility 从内存镜像中确认系统信息、进程、命令行、网络连接和文件对象,并围绕可疑进程提取证据

内存取证分析的是系统运行时的内存镜像。它能恢复进程、命令、网络连接、加载模块、凭据、剪贴板、文件内容片段等运行时证据。

内存取证的核心价值在于:磁盘上的文件是静态的,而内存中保存的是系统运行时的动态状态。很多关键信息只存在于内存中——加密软件的解密密钥、浏览器中已登录的会话 Token、正在编辑但未保存的文档、恶意进程在磁盘上不留痕迹但在内存中暴露的代码和网络通信数据。当攻击者使用"无文件攻击"(fileless attack)技术,将恶意代码直接注入内存执行、不写入磁盘时,内存取证几乎是唯一的检测手段。

枫桥2025/11/12大约 6 分钟CTFMiscMiscMisc-进阶
蓝牙与无线信号

本文适合

已经理解 流量包基础音频频谱与DTMF 和基础文件分析的 Misc 学习者。学完你能:区分蓝牙、Wi-Fi、RF/SDR 和音频调制材料,选择 Wireshark、aircrack-ng、Inspectrum、Universal Radio Hacker 或 GNU Radio 做最小验证

枫桥2025/11/6大约 5 分钟CTFMiscMiscMisc-进阶
磁盘镜像与文件恢复

本文适合

拿到 .dd.img.raw.E01、虚拟磁盘或分区镜像后,需要恢复文件和重建文件系统证据的 Misc 学习者。学完你能:判断镜像是整盘还是分区,列目录、恢复删除文件、提取未分配空间证据,并把恢复物继续做真实类型分析

磁盘镜像题关注文件系统层面的证据:分区、目录、删除文件、未分配空间、日志、元数据和残留内容。

枫桥2025/11/3大约 5 分钟CTFMiscMiscMisc-进阶