流量,日志分析--理论

提供资料:

Wireshark 基本语法,基本使用方法,及包过虑规则 : https://blog.csdn.net/qq_17457175/article/det
ails/53019490
ctf 常见流量分析题目类型 : https://ctf-wiki.org/misc/traffic/introduction/
windows 日志 : https://joner11234.github.io/article/4824f591.html

流量包分析:

CTF 比赛中, 流量包的取证分析是另一项重要的考察方向。

通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。

PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。

总的来说有以下几个步骤:

  • 总体把握
    • 协议分级
    • 端点统计
  • 过滤赛选
    • 过滤语法
    • Host,Protocol,contains,特征值
  • 发现异常
    • 特殊字符串
    • 协议某字段
    • flag 位于服务器中
  • 数据提取
    • 字符串取
    • 文件提取

总的来说比赛中的流量分析可以概括为以下三个方向:

  • 流量包修复
  • 协议分析
  • 数据提取

web流量分析:

web流量分析基本套路:

  1.     流量分析传输了数据:zip rar png jpg txt mp3,特别是流量包比较大时需要注意
  2.     binwalk分离文件,grep或者wireshark内ctrl+f搜索
  3.     分情况使用导出对象,导出分组字节流,原始数据
  4.     搜索时可以看情况搜索分组详情、分组字节流
  5.     查看包间的差异,可以按大小排列数据包等
  6.     png在流量中经常以base64形式出现
  7.     如果有TLS,要么找密钥,要么看别的协议

windows日志分析:

电子取证

日志文件也就是Windows中自带的日志记录程序生成的文件,其中记录着Windows系统及其各种服务运行的细节,如各种系统服务的启动、运行、关闭等信息,它是用于帮助系统管理员在其计算机上发现并解决问题,另外它对于取证和应急响应起着非常重要的作用。

日志简介

Windows系统默认以二进制XML Windows事件日志记录格式(由.evtx扩展名指定)将日志存储在%SystemRoot%\System32\Winevt\logs目录中。日志也可以使用日志订阅远程存储。对于远程日志记录,运行Windows Event Collector服务的远程系统订阅其他系统生成的日志。

日志类型

不同类型的日志放在不同的位置,这里主要介绍三种日志,应用程序日志、安全日志以及系统日志,其中这三种日志记录的位置和记录信息如下

流量,日志分析--理论_第1张图片

 默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

你可能感兴趣的:(作业,正则表达式)