一句话判断

看到 HTTPS/TLS Application Data 时，不要直接放弃；先判断是否有 key log、服务器私钥、会话密钥、弱配置或明文侧信道，再决定解密、元数据分析或转其他证据源。

题目中常见信号

PDF 和 Office 文档不是单纯“能打开的文件”。它们内部有结构、对象、资源、元数据、脚本和压缩内容，CTF 中经常把信息藏在这些层里。

一句话判断

OSINT（Open Source Intelligence，开源情报）是从公开来源收集和分析信息的技术。CTF 中的 OSINT 题通常要求选手通过公开信息找到隐藏的 flag、定位地点、追踪人物或发现泄露的敏感数据。

一句话判断

OSINT 题不是“搜索到一个像答案的东西”就结束；必须把公开来源、查询语法、时间点、交叉验证和排除过程写成证据链。

GIF 和视频题的核心是“时间维度”。单帧看不出问题时，信息可能藏在帧顺序、帧差异、透明层、时间间隔或累计效果里。

一句话判断

动态文件单帧看不出异常时，按“拆帧、看差异、看时间、看透明层、看音轨、看容器”的顺序处理，不要只截图第一帧。

音频题不只靠听。很多信息藏在频域、声谱图、双音多频按键、左右声道差异或采样数据中。

一句话判断

音频题先不要只靠耳朵听；如果波形、频谱、声道、节奏、倒放或元数据异常，就把声音转成可观察的图、频率表和样本数据来验证。

压缩包题是 Misc 里最常见的基础题型之一。它不只是“解压文件”，还包括格式识别、伪装、损坏修复、密码爆破和多层嵌套。

一句话判断

看到压缩包、PK、Rar!、多层附件、解压失败、密码提示或“套娃”时，先区分真实加密、伪加密、损坏、分卷和嵌套，再按层验证而不是盲目爆破。

Misc 附件分析的第一步是确认真实文件类型。文件后缀可以伪造，但文件头通常能暴露真实格式。

一句话判断

文件名和打开方式都不可信；只要后缀、magic bytes、文件尾、体积、file、binwalk 的结果不一致，就按真实结构而不是文件名继续分析。

图片隐写题常常不是“看图猜字”，而是利用图片文件中像素、颜色通道、透明度或帧之间的细微差异藏信息。理解像素结构，是做图像 Misc 的基础。

日志记录系统、应用、网络或用户行为。CTF 中的日志题通常要求从大量正常记录中找异常事件、攻击路径、flag 片段或关键时间线。

一句话判断

看到 access.log、auth.log、syslog、evtx、审计记录或大量请求时，不要先搜最终答案；先按时间、来源、动作和结果建表，再从异常聚合中定位攻击链或 flag 片段。