RYO-1313/CTF-forensic

# 🔬 CTF 取证 — Root-Me ## 👤 关于我 自学网络安全的学生，目标是成为一名 **SOC Analyst**，长期规划转型为 Red Team。我每天在 Root-Me 和 TryHackMe（Blue Team 路径）上练习，并记录每一个挑战以巩固学习成果和构建专业作品集。 - 🐧 日常 Linux 用户 (CachyOS + Kali Linux VM) - 🔵 TryHackMe — Blue Team 路径 - 🌐 并行仓库: [CTF Networking — Root-Me](https://github.com/RYO-1313/CTF-Networking-Root-Me) ## 🧰 使用工具 | 工具 | 用途 | |------|---------| | `file` | 文件类型识别和初步侦察 | | `strings` | 从二进制文件中提取人类可读文本 | | `grep` | 基于模式过滤命令行输出 | | `foremost` | 原始磁盘镜像的文件雕刻和恢复 | | `binwalk` | 二进制镜像中嵌入文件签名的检测 | | `exiftool` | 媒体文件的元数据提取和分析 | ## 📚 已完成挑战 | # | 挑战 | 类别 | 难度 | 状态 | |---|-----------|----------|------------|--------| | 01 | [Deleted File](./01-Deleted-File.md) | Forensics | Very Easy | ✅ | | 02 | [Command & Control - Level 2](./02-Command-and-Control-2.md) | Forensics | Easy | ✅ | ## 🗺️ 识别模式 | 模式 | 首次出现于 | |---------|--------------| | 在 FAT 文件系统中，已删除文件在被覆盖前会持续存在 | Deleted File | | 图像元数据可能包含隐藏或有意义的信息 | Deleted File | | 仅靠视觉检查是不够的 —— 始终检查元数据 | Deleted File | | 在使用专业框架之前，可以使用基本工具对内存转储进行分类 | Command & Control - Level 2 | | 同一个工件可能存在于内存转储中的多个位置 | Command & Control - Level 2 | | 内存中的环境变量块暴露了系统配置数据 | Command & Control - Level 2 | ## 📈 目前获得的技能 - **FAT 文件系统取证** — 理解文件删除在文件系统层面是如何工作的，以及为什么数据恢复是可能的 - **文件雕刻** — 使用基于签名的工具从没有文件系统索引的原始磁盘镜像中恢复文件 - **元数据分析** — 作为取证调查的一部分，从图像文件中提取和解释嵌入的元数据 - **内存转储分类** — 应用 `strings` 和 `grep` 作为首选方法，从原始二进制内存转储中提取可读工件 - **Windows 系统工件分析** — 理解 Windows 在内存中存储主机名和环境数据的位置，以及如何在取证条件下定位它 - **调查枢纽** — 识别某种方法何时返回噪声，并在同一文件内重定向到替代数据源 ## 📖 帮助过我的资源 - [Root-Me Forensics Challenges](https://www.root-me.org/en/Challenges/Forensic/) - [ExifTool Documentation](https://exiftool.org/) - [Foremost File Carver](http://foremost.sourceforge.net/) ## 🔗 相关仓库 这个取证仓库与我的网络 CTF 文档并行运行： 👉 [CTF Networking — Root-Me](https://github.com/RYO-1313/CTF-Networking-Root-Me) 两个仓库遵循相同的文档理念，并针对相同的职业目标：**SOC Analyst → Red Team**。 *本仓库是一份活文档。每一个完成的挑战、每一个犯下的错误以及每一个学到的概念都记录在此 —— 不仅是为了追踪进度，更是为了培养在专业安全环境中至关重要的分析习惯。*

标签：Binwalk, EXIF, Exiftool, FAT文件系统, Foremost, HTTP工具, IP 地址批量处理, JARM, Root-Me, SOC分析师, TryHackMe, Writeup, 二进制分析, 云安全运维, 元数据分析, 内存分析, 取证, 命令与控制, 学习笔记, 数字取证, 数据展示, 文件恢复, 红队, 网络安全, 网络安全审计, 职业发展, 自动化脚本, 隐私保护