流量，日志分析--理论

提供资料：

Wireshark 基本语法，基本使用方法，及包过虑规则 : https://blog.csdn.net/qq_17457175/article/det

ails/53019490

ctf 常见流量分析题目类型 : https://ctf-wiki.org/misc/traffic/introduction/

windows 日志 : https://joner11234.github.io/article/4824f591.html

流量包分析：

CTF 比赛中, 流量包的取证分析是另一项重要的考察方向。

通常比赛中会提供一个包含流量数据的 PCAP 文件，有时候也会需要选手们先进行修复或重构传输文件后，再进行分析。

PCAP 这一块作为重点考察方向，复杂的地方在于数据包里充满着大量无关的流量信息，因此如何分类和过滤数据是参赛者需要完成的工作。

总的来说有以下几个步骤：

• 总体把握
  • 协议分级
  • 端点统计
• 过滤赛选
  • 过滤语法
  • Host，Protocol，contains，特征值
• 发现异常
  • 特殊字符串
  • 协议某字段
  • flag 位于服务器中
• 数据提取
  • 字符串取
  • 文件提取

总的来说比赛中的流量分析可以概括为以下三个方向:

• 流量包修复
• 协议分析
• 数据提取

web流量分析：

web流量分析基本套路：

1.     流量分析传输了数据：zip rar png jpg txt mp3，特别是流量包比较大时需要注意
2.     binwalk分离文件，grep或者wireshark内ctrl+f搜索
3.     分情况使用导出对象，导出分组字节流，原始数据
4.     搜索时可以看情况搜索分组详情、分组字节流
5.     查看包间的差异，可以按大小排列数据包等
6.     png在流量中经常以base64形式出现
7.     如果有TLS，要么找密钥，要么看别的协议

windows日志分析：

电子取证

日志文件也就是Windows中自带的日志记录程序生成的文件，其中记录着Windows系统及其各种服务运行的细节，如各种系统服务的启动、运行、关闭等信息，它是用于帮助系统管理员在其计算机上发现并解决问题，另外它对于取证和应急响应起着非常重要的作用。

日志简介

Windows系统默认以二进制XML Windows事件日志记录格式（由.evtx扩展名指定）将日志存储在％SystemRoot％\System32\Winevt\logs目录中。日志也可以使用日志订阅远程存储。对于远程日志记录，运行Windows Event Collector服务的远程系统订阅其他系统生成的日志。

日志类型

不同类型的日志放在不同的位置，这里主要介绍三种日志，应用程序日志、安全日志以及系统日志，其中这三种日志记录的位置和记录信息如下

 默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。