Форензика

Форензика аппаратных устройств

Форензика аппаратных устройств — это поиск данных внутри физических носителей: флешек, SD-карт, микроконтроллеров, RFID-меток и IoT-гаджетов. Здесь данные хранятся не в обычных файлах, а в микросхемах памяти, которые часто защищены или зашифрованы. В категории forensics и hardware на CTF эта тема встречается всё чаще: флаг прячут в дампе флешки, памяти умной розетки или RFID-карты. Новичку важно понять, что аппаратные устройства — это не просто "флешка", а сложные чипы с собственной памятью и защитой. Знание поможет тебе извлекать данные из необычных источников и находить флаги там, где другие видят только "пустой" чип или метку.

Словарь терминов

Анализ дампов флешек, SD-карт, USB-устройств

Флешки и SD-карты используют NAND-flash память — маленькие ячейки, которые хранят биты как электрический заряд. Когда файл удаляют — данные не стираются сразу, а помечаются как свободные. При записи новые данные могут перезаписать старые, но часто остаются остатки.

USB-устройства (флешки, внешние диски, иногда даже клавиатуры) имеют контроллер и память. В дампе можно найти не только файлы, но и логи контроллера, серийные номера и остатки старых данных.

В CTF дампы флешек — самая частая задача. Флаг часто лежит в удалённом файле, в slack space или в дампе контроллера.

На практике: получил дамп флешки — ищешь файловую систему (FAT32 или exFAT), проверяешь удалённые файлы и неиспользованные сектора; если файловая система повреждена — сканируешь на сигнатуры (файлы начинаются с определённых байтов).

Извлечение данных из встроенной памяти IoT-устройств

IoT-устройства (умные розетки, лампочки, камеры, датчики) имеют микроконтроллер с встроенной flash-памятью. Там хранятся прошивка, настройки Wi-Fi, пароли, токены и иногда пользовательские данные.

Данные обычно не в файловой системе, а в секторах памяти: конфигурация, логи, ключи шифрования.

В CTF IoT-дампы дают в задачах на умные дома или устройства. Флаг может быть в настройках Wi-Fi, в логе или в токене облака.

На практике: получил дамп памяти IoT — ищешь строки "password", "ssid", "token" или "flag"; проверяешь сектора с конфигурацией — часто там лежит флаг.

Форензика RFID, NFC, Bluetooth дампов

RFID — бесконтактные метки и карты (пропуска, брелоки). Дамп — это запись всех команд и ответов между считывателем и меткой.

NFC — то же самое, но на маленьком расстоянии (телефоны, карты оплаты). Дамп содержит команды SELECT, READ, WRITE.

Bluetooth — беспроводная связь. Дамп — это перехват пакетов (HCI-трафик), где видны соединения, имена устройств, ключи pairing.

В CTF RFID/NFC/Bluetooth дампы дают в задачах на пропуска, оплату или умные замки. Флаг часто в UID метки или в ключе pairing.

На практике: получил дамп RFID — ищешь UID или данные блока; NFC — смотришь команды READ BINARY; Bluetooth — ищешь имя устройства или ключ pairing.

Анализ дампов EEPROM и flash-памяти микроконтроллеров

EEPROM — маленькая энергонезависимая память внутри микроконтроллера. Там хранятся настройки, серийные номера, калибровки.

Flash-память — основная память микроконтроллера: там лежит прошивка (программа) и иногда пользовательские данные.

Дамп — это полная копия EEPROM или flash. В нём можно найти строки, ключи, пароли и флаги.

В CTF дампы микроконтроллеров — классика hardware-задач. Флаг часто в строке прошивки или в настройках EEPROM.

На практике: получил дамп flash — ищешь строки "flag", "CTF", "password"; в EEPROM — смотришь конфигурационные блоки с ключами или токенами.

Итог

Форензика аппаратных устройств — это поиск данных внутри чипов, флешек, RFID-меток и IoT-гаджетов. В forensics и hardware CTF это одна из самых интересных тем: флаг прячут в дампе памяти микроконтроллера, настройках устройства или RFID-карте.

Главное запомнить: флешки и SD-карты имеют NAND-flash и slack space; IoT-устройства хранят настройки в flash; RFID/NFC дампы содержат UID и блоки данных; EEPROM и flash микроконтроллеров — место для строк и ключей.

Ключевые слова/термины выучить: дамп, флешка, SD-карта, USB-устройство, IoT-устройство, встроенная память, RFID, NFC, Bluetooth, EEPROM, flash-память, микроконтроллер.

Эти знания помогут тебе сразу после получения дампа флешки или микроконтроллера искать строки с флагом или проверять блоки памяти. В задачах ты сможешь извлечь пароль из настроек IoT-устройства, прочитать UID RFID-карты или найти флаг в дампе flash-памяти микроконтроллера — и получить флаг без лишних поисков.

Форензика аудио и видео

Форензика аудио и видео — это поиск скрытой информации внутри звуковых файлов и видеороликов: сообщений, текстов, картинок или даже флагов. Аудио и видео — удобный способ спрятать данные, потому что в них много места для незаметных изменений. В категории forensics и stego на CTF эта тема встречается часто: флаг прячут в звуке, субтитрах, кадрах или метаданных медиафайла. Новичку важно понять, как устроены эти форматы и где в них можно спрятать секрет, потому что это один из самых интересных и визуальных способов передачи флага. Знание поможет тебе быстро проверять подозрительные файлы и находить скрытое там, где другие слышат просто музыку или видят обычное видео.

Словарь терминов

Анализ аудиоформатов (WAV, MP3, FLAC, OGG) и метаданных

WAV — самый простой формат: звук хранится без сжатия. Каждый сэмпл (маленький кусочек звука) записан как число. Метаданные лежат в начале файла (RIFF-тег).

MP3 — сжатый формат. Он убирает звуки, которые человек плохо слышит. Метаданные (ID3-теги) находятся в начале или конце файла: название трека, исполнитель, год, комментарий.

FLAC — сжатие без потери качества. Метаданные тоже в начале файла, плюс можно добавлять картинки и тексты.

OGG — контейнер, чаще всего с кодеком Vorbis. Метаданные в начале (Vorbis comments).

В CTF метаданные — первое, что проверяют. Флаг часто лежит в поле "Комментарий", "Автор" или "Описание".

На практике: если видишь аудиофайл — сразу смотришь метаданные: название, комментарий, альбом. Флаг часто спрятан именно там.

Извлечение скрытых данных в аудио (LSB, спектрограмма, phase encoding)

LSB — самый простой способ: звук состоит из чисел (сэмплов), младший бит почти не влияет на звук. Можно менять младшие биты на биты сообщения — человек не услышит разницы.

Спектрограмма — картинка, где по горизонтали время, по вертикали частота, яркость — громкость. В неё можно спрятать текст или QR-код: рисуешь буквы разными частотами.

Phase encoding — данные прячут в фазе волны (сдвиг волны влево-вправо). Звук почти не меняется, но данные читаются.

В CTF LSB и спектрограмма — самые частые техники в аудио. Флаг прячут в младших битах или рисуют на спектрограмме.

На практике: если слышишь странный шум или видишь подозрительный WAV/MP3 — проверяешь младшие биты каждого сэмпла; открываешь спектрограмму — ищешь текст или QR-код.

Парсинг видео (MP4, MKV, AVI) и извлечение субтитров/кадров

MP4 — современный формат: внутри видео, аудио, субтитры и метаданные. Всё разбито на атомы (boxes): moov — информация о видео, mdat — сами данные.

MKV — очень гибкий: поддерживает много видео- и аудиодорожек, субтитры разных языков, вложения.

AVI — старый формат Windows. Простой, но уже редко используется.

Субтитры — текст, который показывается во время видео. Часто флаг прячут в субтитрах или в отдельном кадре.

В CTF парсинг видео — частая задача. Флаг может быть в субтитрах, в метаданных или в одном кадре.

На практике: если видишь видео — сразу проверяешь субтитры и метаданные; извлекаешь все кадры — ищешь подозрительный кадр с текстом или QR-кодом.

Steganalysis аудио/видео (Sonic Visualiser, Audacity, ffprobe)

Steganalysis — поиск следов стеганографии: необычные шумы, изменения в частотах, странные метаданные.

Sonic Visualiser — программа для анализа аудио: рисует спектрограмму, waveform, показывает LSB.

Audacity — редактор звука: позволяет видеть и менять младшие биты, экспортировать каналы.

ffprobe — показывает структуру видео: кодеки, битрейт, метаданные, субтитры.

В CTF steganalysis помогает понять, есть ли скрытое в файле. Если спектрограмма выглядит подозрительно — там может быть текст.

На практике: открываешь аудио в программе — смотришь спектрограмму — видишь буквы; в видео проверяешь метаданные и субтитры — находишь флаг.

Итог

Форензика аудио и видео — это поиск скрытых сообщений в звуке и картинке. В forensics и stego CTF это одна из самых популярных тем: флаг прячут в метаданных, LSB, спектрограмме или субтитрах.

Главное запомнить: WAV/MP3/FLAC хранят звук по-разному, но метаданные и LSB — первое, что проверять; видео (MP4/MKV) содержит субтитры и кадры; спектрограмма показывает скрытый текст.

Ключевые слова/термины выучить: аудиоформат, WAV, MP3, FLAC, OGG, метаданные, LSB, спектрограмма, phase encoding, MP4, MKV, AVI, субтитры, steganalysis.

Эти знания помогут тебе сразу после получения аудио/видео проверять метаданные и LSB. В задачах ты сможешь найти флаг в комментарии MP3, увидеть текст на спектрограмме WAV или извлечь скрытое сообщение из субтитров MP4 — и получить флаг без сложных поисков.

Форензика документов и офисных форматов

Форензика документов — это поиск скрытой информации внутри файлов Word, Excel, PowerPoint и PDF. Эти файлы состоят из множества частей: текст, картинки, макросы, метаданные и даже удалённые фрагменты. В категории forensics на CTF эта тема встречается очень часто: флаг прячут в макросе, метаданных, скрытом OLE-объекте или в остатках старого текста. Новичку важно понять, как устроены эти форматы, потому что обычный просмотр файла показывает только видимую часть, а секреты лежат глубже. Знание поможет тебе открывать документы не как обычный пользователь, а как следователь — находить макросы, метаданные и удалённые куски текста, где обычно и спрятан флаг.

Словарь терминов

Структура OLE, OOXML (docx, xlsx, pptx), PDF

OLE — это старый формат Microsoft. Документ Word 97–2003 или Excel — это составной файл, внутри которого лежат потоки: основной текст, картинки, макросы. OLE позволяет вставлять один документ в другой (например Excel-таблицу в Word).

OOXML — современный формат (docx, xlsx, pptx). На самом деле это zip-архив. Если переименовать .docx в .zip и открыть — увидишь папки word, xl, ppt и файлы XML. В word/document.xml лежит основной текст, в word/_rels — связи, в word/vbaProject.bin — макросы.

PDF — формат Adobe. Он состоит из объектов (число + тип + данные) и потоков. Текст, картинки, шрифты — всё это отдельные объекты. PDF может содержать скрытые слои, вложения и метаданные.

В CTF структура файлов — ключ к поиску флага. Часто флаг прячут в скрытых XML-файлах внутри docx или в потоках PDF.

На практике: переименовываешь docx в zip — открываешь и ищешь в XML подозрительные строки; в PDF смотришь на объекты с текстом или вложения.

Извлечение макросов VBA, DDE, OLE-объектов

Макросы VBA — это маленькие программы внутри документов Office. Они запускаются автоматически при открытии и могут делать что угодно: скачивать файлы, показывать сообщения, читать флаг.

DDE (Dynamic Data Exchange) — старый механизм связи. В старых Word можно было вставить поле {DDE "cmd" "dir"} — и при открытии выполнялась команда.

OLE-объекты — это вставленные файлы: картинка, другой документ, исполняемый файл. Они могут быть скрытыми и содержать флаг.

В CTF макросы и OLE — очень частый способ спрятать флаг. Если видишь подозрительный .doc или .xls — это почти всегда макрос или OLE.

На практике: открываешь документ в безопасном режиме — видишь предупреждение о макросах; смотришь OLE-объекты — извлекаешь содержимое и находишь флаг.

Анализ метаданных документов (Office Metadata, PDF streams)

Метаданные — это скрытая информация о файле: автор, дата создания, название программы, последняя правка, компьютер, где редактировали.

В Office метаданные лежат в XML-файлах (docProps/core.xml, app.xml). В PDF — в объекте /Info и /XMP.

В CTF метаданные часто содержат флаг: имя автора "CTF{flag}", комментарий или название компании.

На практике: открываешь свойства файла — смотришь поля Автор, Комментарий, Название; в docx распаковываешь zip и читаешь core.xml; в PDF ищешь объект /Info.

Восстановление удалённого содержимого и предыдущих версий

В документах остаются следы старых версий текста. В Word это "быстрые правки" и остатки в XML. В Excel — скрытые листы и старые значения в кэше.

В OOXML после удаления текста фрагменты остаются в document.xml или revisions.

В PDF удалённый текст может остаться в потоках или в истории объектов.

В CTF восстановление удалённого содержимого — частая задача. Флаг был в документе, потом стёрт — но следы остались.

На практике: распаковываешь docx — ищешь в XML строки с зачёркнутым текстом или в revisions; в PDF смотришь на старые версии объектов.

Итог

Форензика документов и офисных форматов — это поиск скрытой информации внутри Word, Excel, PowerPoint и PDF. В forensics CTF это одна из самых популярных тем: флаг прячут в макросах, метаданных, OLE-объектах или удалённом тексте.

Главное запомнить: docx — это zip с XML; метаданные хранят автора и комментарии; макросы VBA и OLE-объекты могут содержать секреты; удалённый текст часто остаётся в файле.

Ключевые слова/термины выучить: OLE, OOXML, PDF, VBA, макрос, DDE, OLE-объект, метаданные, Office Metadata, PDF streams, восстановление удалённого содержимого.

Эти знания помогут тебе сразу после получения документа распаковать docx и проверить метаданные, макросы и XML на наличие флага. В задачах ты сможешь найти сообщение в OLE-объекте, прочитать автора файла с флагом или восстановить стёртый текст из XML — и получить флаг без сложных поисков.

Форензика файловых систем

Форензика файловых систем — это изучение, как данные хранятся на диске, где они могут прятаться и как их найти, даже если их удалили. Это как поиск следов на месте преступления, только на жёстком диске или флешке. В категории forensics на CTF эта тема встречается почти в каждой задаче: флаг прячут в удалённом файле, скрытом разделе или остатках данных. Новичку важно понять, как устроены файловые системы, потому что это основа большинства форензика-задач. Знание поможет тебе находить флаги там, где другие видят только пустое место или "файл удалён".

Словарь терминов

Структура файловых систем (FAT32, NTFS, ext4, APFS)

Файловая система — это как библиотекарь на диске: она знает, где лежит каждый файл, сколько он занимает места и как его найти.

FAT32 — старая и простая система. Она использует таблицу размещения файлов (FAT), где записано, какие кластеры (куски диска) принадлежат файлу. Подходит для флешек до 32 ГБ, но не умеет хранить файлы больше 4 ГБ и не поддерживает права доступа.

NTFS — современная система Windows. Она хранит всю информацию о файлах в специальной таблице MFT. Поддерживает большие файлы, права доступа, шифрование и скрытые потоки данных.

ext4 — основная система Linux. Она использует inode (структуры с информацией о файле) и блоки. Очень надёжна, поддерживает большие диски и журнал изменений.

APFS — система macOS. Она умеет делать снимки диска, шифровать файлы и работать с SSD. Всё хранится в объектах, а не в классических блоках.

В CTF знание структуры помогает понять, где может быть спрятан флаг: в MFT NTFS, в inode ext4 или в скрытых объектах APFS.

На практике: если видишь образ диска — определяешь тип файловой системы по сигнатуре (FAT — "FAT32", NTFS — "NTFS ", ext4 — "53 ef") и знаешь, где искать метаданные.

Скрытые разделы, slack space, alternate data streams (ADS) в NTFS

Скрытый раздел — это часть диска, которая не отображается в проводнике. Её можно найти только специальными программами по сигнатурам файловых систем.

Slack space — это неиспользованное место в конце кластера. Если файл занимает 3 КБ, а кластер 4 КБ — последний 1 КБ остаётся "пустым", но там могут остаться старые данные.

Alternate Data Streams (ADS) — в NTFS к любому файлу можно прикрепить дополнительные потоки данных. Они не видны в проводнике и часто используются для хранения скрытой информации.

В CTF флаг часто прячут именно здесь: в slack space старого файла или в ADS файла image.jpg:flag.txt.

На практике: если видишь образ диска — ищешь скрытые разделы по сигнатурам; проверяешь slack space в кластерах; в NTFS смотришь ADS через команды типа dir /r.

Восстановление удалённых файлов (carving, undelete)

Undelete — восстановление файлов, которые удалили недавно. В FAT и NTFS метаданные остаются, пока кластеры не перезапишутся.

Carving — поиск файлов по сигнатурам (JPEG начинается с FF D8, PNG — 89 50 4E 47). Инструменты сканируют диск и собирают файлы без помощи файловой системы.

В CTF carving — самый частый способ достать флаг с образа диска. Если файл удалили — метаданные стёрты, но содержимое осталось.

На практике: если видишь образ диска без файловой системы или с удалёнными файлами — запускаешь carving по сигнатурам и ищешь флаг в восстановленных файлах.

Анализ MFT (Master File Table) и journal в NTFS

MFT — это главная таблица файлов в NTFS. Каждый файл или папка имеет запись в MFT (обычно 1 КБ). В записи хранится имя, размер, время изменения, указатели на данные и т.д.

Journal (USN Journal) — журнал изменений: каждая операция (создание, удаление, переименование) записывается сюда. Можно увидеть, что было на диске раньше.

В CTF анализ MFT помогает найти удалённые файлы (их записи остаются), восстановить времена и пути. Journal показывает историю изменений.

На практике: если задача на образ NTFS — ищешь в MFT записи с именем flag или $DATA с содержимым; в journal смотришь, когда файл создавался или удалялся.

Итог

Форензика файловых систем — это умение находить данные там, где их вроде бы нет: в удалённых файлах, скрытых разделах, slack space или ADS. В forensics CTF это основа большинства задач: флаг прячут именно в таких местах.

Главное запомнить: каждая файловая система хранит данные по-своему; NTFS — самая богатая на скрытые возможности (ADS, MFT, journal); carving работает всегда, даже если файловая система уничтожена.

Ключевые слова/термины выучить: файловая система, FAT32, NTFS, ext4, APFS, скрытый раздел, slack space, ADS, file carving, undelete, MFT, journal.

Эти знания помогут тебе сразу определять тип диска по сигнатуре и знать, где искать флаг: в ADS файла, в slack space кластера, в MFT записи удалённого файла или через carving по сигнатуре. В задачах ты сможешь восстановить удалённый флаг, найти скрытый раздел или прочитать ADS — и получить флаг без лишних усилий.

Форензика логов и временных меток

Логи — это дневник действий компьютера: кто заходил, что запускал, когда что-то менялось. Временные метки — это точное время создания, изменения или доступа к файлам. В категории forensics на CTF эта тема встречается почти в каждой второй задаче: флаг прячут в логах системы, истории команд или манипулируют временем, чтобы запутать следы. Новичку важно понять, как читать логи и метки, потому что они показывают, что действительно происходило на компьютере. Знание поможет тебе находить команды, которыми вводили флаг, видеть, когда его скачивали, и замечать, когда злоумышленник пытался скрыть свои действия.

Словарь терминов

Анализ логов Windows (Event Logs, Sysmon, PowerShell history)

Event Logs — это главный журнал Windows. Он записывает всё важное: кто вошёл в систему, когда запускались программы, ошибки и предупреждения. Самые интересные журналы — Security (входы, изменения прав) и System (запуск служб).

Sysmon — дополнительный журнал, который ставят отдельно. Он видит гораздо больше: создание процессов, сетевые соединения, изменения файлов. Sysmon часто используют в CTF, потому что он показывает, как запускали вредоносные команды.

PowerShell history — история команд в PowerShell. Если кто-то вводил "type flag.txt" или "net user" — это остаётся в файле ConsoleHost_history.txt.

В CTF логи Windows — один из самых частых источников флага. Он может быть в команде PowerShell или в событии запуска подозрительного файла.

На практике: смотришь Event Logs на события ID 4624 (успешный вход) и 4688 (создание процесса) — находишь подозрительную команду; в PowerShell history ищешь строки с "flag" или "CTF".

Парсинг журналов Linux (auth.log, syslog, journalctl)

auth.log — журнал авторизаций в Linux. Здесь видно, кто заходил по SSH, когда были неудачные попытки входа и какие команды выполнялись с правами root.

syslog — основной журнал системы. Сюда пишут сообщения от ядра, служб и программ: запуск sshd, ошибки, изменения файлов.

journalctl — современный способ читать логи в системах с systemd (почти все современные Linux). Можно фильтровать по времени, службе или тексту.

В CTF логи Linux часто содержат флаг в командах sudo, SSH-входах или ошибках программ.

На практике: открываешь auth.log — ищешь строки с "Accepted password for user" или "COMMAND=cat flag.txt"; в journalctl фильтруешь по sshd или sudo — находишь подозрительные команды.

Анализ временных меток (MACB, NTFS timestamps, USN Journal)

MACB — это четыре времени файла:

• Modified (M) — когда меняли содержимое

• Accessed (A) — когда читали файл

• Changed (C) — когда меняли метаданные (права, имя)

• Birth (B) — когда создали файл (только в NTFS)

NTFS хранит все четыре времени очень точно (до 100 наносекунд).

USN Journal — специальный журнал в NTFS, куда записывается каждая операция с файлом: создание, удаление, переименование, изменение.

В CTF временные метки помогают понять последовательность событий: когда создали файл flag.txt, когда его читали и когда удалили.

На практике: смотришь MACB у файла — видишь, что Created позже Modified — значит файл подделан; в USN Journal находишь запись о создании flag.txt и понимаешь хронологию.

Обнаружение манипуляций со временем (timestomping)

Timestomping — это когда злоумышленник меняет время файла, чтобы оно выглядело, будто файл создали давно или недавно. Например, ставит Created и Modified на год назад, чтобы скрыть, что файл только что появился.

В Windows это делают через утилиты или скрипты, меняя все четыре метки (MACB).

В CTF timestomping — частый способ запутать следы. Если видишь, что файл flag.txt имеет Created 5 лет назад, но при этом в логах его только что открывали — это манипуляция.

На практике: сравниваешь MACB с другими файлами в той же папке — если у всех Created недавно, а у одного старое — это timestomping; смотришь USN Journal или логи на реальное время создания.

Итог

Форензика логов и временных меток — это чтение дневника компьютера и проверка времени файлов. В forensics CTF это ключ к пониманию, что происходило и когда: флаг часто находят в логах команд или подделке времени.

Главное запомнить: логи Windows (Event Logs, Sysmon, PowerShell) показывают команды и входы; логи Linux (auth.log, syslog, journalctl) — авторизации и sudo; MACB и USN Journal — реальное время операций; timestomping прячет следы.

Ключевые слова/термины выучить: лог, Event Logs, Sysmon, PowerShell history, auth.log, syslog, journalctl, MACB, NTFS timestamps, USN Journal, timestomping.

Эти знания помогут тебе сразу после получения образа системы смотреть логи и находить команды с флагом. В задачах ты сможешь увидеть в PowerShell history строку "type flag.txt", в auth.log — подозрительный sudo или в USN Journal — когда создали файл, даже если время подделано — и получить флаг через анализ последовательности событий.

Форензика мобильных устройств

Форензика мобильных устройств — это поиск и извлечение данных из смартфонов и планшетов: сообщений, фото, паролей, истории браузера и других следов. В категории forensics на CTF эта тема встречается всё чаще: флаг прячут в чате мессенджера, базе данных приложения или зашифрованном хранилище телефона. Новичку важно понять, как устроены Android и iOS и где в них можно найти секреты, потому что мобильные устройства стали одним из главных источников данных в реальных расследованиях и соревнованиях. Знание поможет тебе быстро извлекать базы данных приложений, находить сообщения с флагом и обходить простые блокировки, чтобы достать скрытую информацию.

Словарь терминов

Извлечение данных из Android/iOS (ADB, checkra1n, Cellebrite, Magnet AXIOM)

Android проще для извлечения данных. С помощью ADB (Android Debug Bridge) подключаешься к телефону по USB, включаешь отладку и копируешь файлы, базы данных и даже всю память.

iOS сложнее: Apple сильно защищает систему. Checkra1n — это джейлбрейк для старых моделей iPhone (до iPhone X), который даёт полный доступ к файловой системе.

Cellebrite и Magnet AXIOM — профессиональные программы, которые умеют извлекать данные даже из заблокированных телефонов, но в CTF их обычно имитируют простыми способами.

В CTF извлечение данных — первый шаг почти во всех мобильных задачах. Если дают образ телефона или дамп — это значит, нужно найти базы данных приложений.

На практике: если задача на Android — ищешь папки /data/data/com.whatsapp или /data/data/org.telegram.messenger; на iOS — /private/var/mobile/Containers/Data/Application.

Анализ SQLite баз данных приложений (WhatsApp, Telegram, браузеры)

Почти все приложения на Android и iOS хранят данные в SQLite — простых базах данных с расширением .db или .sqlite.

WhatsApp хранит чаты в msgstore.db, контакты и медиа в других файлах. Telegram — в cache4.db и другие базы. Браузеры (Chrome, Safari) — в History.db, Cookies.db.

В этих базах лежат таблицы: messages, chats, contacts, cookies, history. Флаг часто прячут в сообщении от "бота" или в истории браузера.

В CTF анализ SQLite — основа мобильных задач. Если видишь .db файл — открываешь его и ищешь таблицы с сообщениями или историей.

На практике: открываешь msgstore.db из WhatsApp — ищешь таблицу messages — находишь сообщение с флагом от подозрительного контакта.

Парсинг plist, .db, .sqlite файлов

Plist — это формат файлов настроек в iOS. Выглядит как XML или бинарный словарь: ключ-значение. В нём хранятся настройки приложений, пути к базам, токены.

.db и .sqlite — файлы баз данных SQLite. Внутри таблицы с данными: сообщения, контакты, cookies, кэш.

Парсинг — это открытие файла и чтение его содержимого: поиск нужных таблиц, строк, значений.

В CTF парсинг plist и sqlite — самый частый способ достать флаг. Он прячется в настройках приложения или в таблице сообщений.

На практике: в iOS находишь .plist с токеном или путём к базе; в .db ищешь таблицу с сообщениями и фильтруешь по ключевому слову "flag" или "CTF".

Обход блокировки экрана и извлечение ключей шифрования

Блокировка экрана на Android и iOS защищает данные. На Android можно обойти простые PIN/пароль, если есть root или физический доступ.

На iOS джейлбрейк (например checkra1n) позволяет получить доступ к файловой системе даже на заблокированном устройстве.

Ключи шифрования — это коды, которые защищают весь диск или отдельные файлы. На Android они часто в памяти процесса locksettings; на iOS — в Secure Enclave, но иногда их можно извлечь из дампа.

В CTF обход блокировки — это способ получить доступ к зашифрованным базам. Если задача даёт образ заблокированного телефона — ищешь способ извлечь ключи.

На практике: если есть дамп памяти — ищешь процесс locksettings или keychain — извлекаешь ключ и расшифровываешь данные.

Итог

Форензика мобильных устройств — это поиск секретов в телефонах: в базах данных приложений, настройках и памяти. В forensics CTF это одна из самых актуальных тем: флаг прячут в чатах WhatsApp/Telegram, истории браузера или зашифрованных файлах.

Главное запомнить: Android проще для извлечения (ADB + root); iOS требует джейлбрейка; SQLite базы — главное хранилище сообщений и настроек; ключи шифрования часто остаются в памяти.

Ключевые слова/термины выучить: ADB, checkra1n, Cellebrite, Magnet AXIOM, SQLite, plist, .db, .sqlite, джейлбрейк, root, ключ шифрования, обход блокировки.

Эти знания помогут тебе сразу после получения образа телефона искать базы данных приложений и таблицы messages. В задачах ты сможешь найти флаг в чате Telegram, извлечь токен из plist или обойти блокировку, чтобы достать зашифрованные данные — и получить флаг без лишних поисков.

Форензика памяти (Memory Forensics)

Форензика памяти — это анализ того, что хранится в оперативной памяти компьютера прямо во время его работы. Дамп памяти — это файл, в котором записано всё содержимое RAM в определённый момент. В категории forensics на CTF эта тема встречается очень часто: флаг, пароль или ключ остаются только в памяти запущенной программы и нигде больше не сохраняются. Новичку важно понять, что диск и память — разные вещи, и самые интересные секреты обычно прячут именно в RAM. Знание поможет тебе открывать дампы, находить запущенные процессы и вытаскивать флаги из памяти, даже если на диске ничего нет.

Словарь терминов

Дампы памяти (Volatility, Rekall, MemProcFS)

Дамп памяти — это большой файл (от 2 до 64 ГБ), в котором записано всё, что было в оперативной памяти в момент создания дампа. Обычно это расширение .dmp, .vmem или .raw.

Volatility — самая популярная программа для работы с дампами. Она знает, как устроена память в Windows, Linux и macOS, и показывает список процессов, открытые файлы, соединения и многое другое.

Rekall — похожий инструмент, раньше был частью Volatility. Хорошо работает с Linux и macOS дампами.

MemProcFS — современный способ: дамп монтируется как виртуальный диск, и ты можешь просматривать память как обычные файлы в проводнике.

В CTF дампы памяти дают в задачах, где флаг находится в запущенной программе, браузере или временных данных. Если видишь большой файл без файловой системы — это почти всегда дамп памяти.

На практике: получил дамп — сразу запускаешь Volatility с правильным профилем (например Win10x64) и смотришь список процессов — ищешь подозрительные программы, где может быть флаг.

Извлечение процессов, сетевых соединений, ключей шифрования из памяти

Процессы — это все запущенные программы. В дампе можно увидеть их имена, пути к файлам, аргументы командной строки и содержимое их памяти.

Сетевые соединения — список, с какими IP и портами общался компьютер. Иногда флаг передаётся по сети и остаётся в памяти сокета.

Ключи шифрования — часто остаются в памяти программ: ключи BitLocker, VeraCrypt, SSH, пароли Wi-Fi, токены браузера. Их можно найти, если знать, где программа их хранит.

В CTF это один из самых простых способов достать флаг: он лежит в аргументах командной строки, в памяти браузера или в ключе шифрования диска.

На практике: смотришь список процессов — находишь cmd.exe или powershell.exe с подозрительными аргументами — извлекаешь память процесса и ищешь строки с флагом или ключом.

Анализ хэндлов, потоков, модулей и инжектированного кода

Хэндлы — это номера, которыми процесс обращается к файлам, сокетам, ключам реестра и другим объектам. По хэндлам видно, какие файлы открывала программа.

Потоки — отдельные параллельные задачи внутри процесса. Иногда флаг обрабатывается в отдельном потоке.

Модули — подключённые библиотеки (DLL в Windows, .so в Linux). Если в процессе появилась странная библиотека — это может быть инжектированный код.

Инжектированный код — когда вредоносная программа вставляет свой код в чужой процесс, чтобы спрятаться.

В CTF анализ хэндлов и модулей помогает найти подозрительную активность: процесс открыл файл flag.txt, но файл удалён — значит флаг был в памяти.

На практике: смотришь хэндлы процесса — видишь открытый файл или сокет; проверяешь модули — находишь странную DLL; извлекаешь память подозрительного потока — ищешь флаг.

Поиск флагов, паролей и артефактов в дампах (strings, yarascan)

Strings — самый простой и быстрый способ: программа ищет все читаемые строки в дампе. Флаги часто лежат в открытом виде в памяти.

Yarascan — поиск по шаблонам (YARA-правилам). Можно написать правило "ищи строки, начинающиеся с flag{" — и инструмент покажет все совпадения.

Артефакты — это следы работы программ: пароли в браузере, команды в PowerShell, ключи в lsass.exe, пути к файлам.

В CTF strings и yarascan — первое, что делают на дампе. 80% флагов находят именно по строкам.

На практике: запускаешь strings на дампе — ищешь "flag{" или "CTF{". Если не нашёл — пишешь простое YARA-правило и запускаешь yarascan.

Итог

Форензика памяти — это поиск секретов в оперативной памяти, где хранятся запущенные программы, пароли и ключи. В forensics CTF это одна из самых важных тем: флаг почти всегда остаётся только в RAM.

Главное запомнить: дамп памяти — это снимок RAM; процессы, хэндлы и модули показывают, что делал компьютер; strings и yarascan — самые быстрые способы найти флаг.

Ключевые слова/термины выучить: дамп памяти, Volatility, процесс, сетевые соединения, хэндлы, потоки, модули, инжектированный код, strings, yarascan.

Эти знания помогут тебе сразу после получения дампа запустить strings и найти флаг в открытом виде. В задачах ты сможешь извлечь пароль из lsass, увидеть команду с флагом в аргументах процесса или найти ключ шифрования в памяти браузера — и получить флаг без анализа диска.

Форензика трафика (Network Forensics)

Форензика трафика — это изучение того, что передавалось по сети: какие пакеты отправлялись, куда, когда и с каким содержимым. Всё записывается в файлы формата PCAP — как видео с камеры наблюдения за интернетом. В категории forensics на CTF эта тема встречается в большинстве задач: флаг передаётся по сети, прячется в трафике или утекает через необычный канал. Новичку важно понять, как выглядит обычный и вредоносный трафик, потому что это один из самых частых способов спрятать секрет. Знание поможет тебе быстро открыть файл с перехватом, найти нужные пакеты и вытащить флаг, даже если он зашифрован или замаскирован.

Словарь терминов

Анализ PCAP-файлов (Wireshark, tshark, tcpdump)

PCAP-файл — это запись всего, что проходило через сеть: запросы, ответы, файлы, команды. Его можно открыть и посмотреть, как будто смотришь фильм о том, что делал компьютер.

Анализ начинается с фильтров: ищешь только HTTP, только DNS или пакеты с определённым IP. Можно увидеть, какие сайты посещали, какие файлы скачивали и какие команды отправляли.

В CTF PCAP — самая частая задача в forensics. Флаг обычно передаётся по HTTP, FTP или прячется в DNS-запросах.

На практике: открываешь PCAP — сразу фильтруешь http.request или dns — смотришь запросы и ответы. Если видишь подозрительный сайт или странный запрос — это часто и есть флаг.

Извлечение файлов из трафика (http, ftp, smb, dns exfiltration)

Многие протоколы передают файлы открыто: HTTP отдаёт картинки и скрипты, FTP — любые файлы, SMB — документы в Windows-сетях.

Извлечение — это когда из потока пакетов собираешь целый файл: картинку, документ, архив или даже исполняемый файл.

DNS exfiltration — хитрый способ: данные прячут в DNS-запросах (например в поддоменах). Каждый запрос несёт кусочек флага.

В CTF извлечение файлов — классика. Флаг часто лежит в скачанном по HTTP файле или в DNS-запросах.

На практике: видишь HTTP-ответ с Content-Type image/png — экспортируешь объект; видишь много DNS-запросов на странные домены — собираешь поддомены и декодируешь base32 или hex.

Реконструкция сессий и потоков (TCP reassembly, TLS decryption)

TCP разбивает большие данные на маленькие пакеты. Реконструкция (reassembly) — это сборка всех пакетов обратно в цельное сообщение: веб-страницу, файл или чат.

TLS decryption — расшифровка зашифрованного трафика. Если знаешь ключ (часто он лежит в памяти браузера или дампе) — можно превратить зашифрованные пакеты в обычный текст.

В CTF реконструкция сессий — один из главных навыков. Флаг передаётся по HTTP/HTTPS, и нужно собрать весь запрос или ответ.

На практике: открываешь TCP-поток — видишь весь запрос и ответ; если трафик зашифрован — ищешь ключ в дампе памяти и расшифровываешь TLS.

Обнаружение C2-трафика, туннелирования и DNS-туннелей

C2-трафик — общение между заражённым компьютером и сервером злоумышленника. Обычно выглядит как странные запросы на необычные домены или IP.

Туннелирование — когда один протокол прячут внутри другого: SSH внутри DNS, HTTP внутри ICMP.

DNS-туннель — самый популярный: данные передают в DNS-запросах и ответах. Запросы выглядят как длинные случайные строки в поддоменах.

В CTF C2 и туннели — частая тема в задачах на вредоносное ПО. Флаг передаётся через DNS или ICMP.

На практике: фильтруешь dns — видишь много запросов на один домен с длинными поддоменами — собираешь их и декодируешь base64 или hex.

Итог

Форензика трафика — это умение читать перехват сети и находить скрытые данные в пакетах. В forensics CTF это одна из ключевых тем: флаг почти всегда передаётся или прячется в трафике.

Главное запомнить: PCAP — это запись разговора по сети; HTTP/FTP/SMB передают файлы открыто; TCP нужно собирать в поток; TLS расшифровывается с ключом; DNS и ICMP — любимые каналы для туннелей.

Ключевые слова/термины выучить: PCAP, пакет, TCP, UDP, HTTP, FTP, SMB, DNS, exfiltration, C2-трафик, туннелирование, TCP reassembly, TLS decryption.

Эти знания помогут тебе сразу после получения PCAP-файла фильтровать HTTP или DNS и находить флаг в запросах или ответах. В задачах ты сможешь собрать скачанный файл из HTTP-потока, расшифровать TLS с ключом из дампа или извлечь данные из DNS-туннеля — и получить флаг без лишних поисков.

Инструменты и общие техники форензики

Инструменты форензики — это программы, которые помогают анализировать диски, файлы, память и другие носители информации, чтобы найти удалённые данные, скрытые файлы или следы действий. В категории forensics на CTF эти инструменты используются почти в каждой задаче: флаг прячут в удалённом файле, в дампе памяти или в остатках данных. Новичку важно понять, какие инструменты решают разные задачи (поиск файлов, анализ памяти, восстановление), потому что без них даже простой образ диска выглядит как бессмысленный набор байтов. Знание этих инструментов и техник поможет тебе быстро определять, что именно нужно сделать с файлом или дампом, и находить флаг там, где другие застревают на часах.

Словарь терминов

Autopsy, The Sleuth Kit, FTK Imager, X-Ways Forensics

Autopsy — это графическая оболочка над The Sleuth Kit. Она позволяет открывать образ диска, просматривать файлы, удалённые файлы, timeline событий и метаданные. Очень удобна для новичков.

The Sleuth Kit — набор консольных утилит под капотом Autopsy. С их помощью можно анализировать файловые системы (NTFS, FAT, ext4), извлекать файлы и смотреть метаданные.

FTK Imager — программа для создания образов дисков и флешек. Она также позволяет просматривать файлы внутри образа без монтирования, извлекать удалённые файлы и смотреть hex.

X-Ways Forensics — очень мощный инструмент: видит больше, чем другие, быстро ищет строки, показывает slack space и alternate data streams.

В CTF эти инструменты — основа для анализа дисков. Если дают образ .E01, .dd или .raw — это задача на Autopsy или FTK.

На практике: открываешь образ в Autopsy — видишь дерево файлов, timeline и удалённые файлы — ищешь флаг в удалённом документе или в slack space.

Binwalk, foremost, scalpel, bulk_extractor

Binwalk — ищет внутри файла встроенные архивы, firmware, образы файловых систем, сжатые данные. Очень полезен для дампов флешек, роутеров и IoT.

Foremost и scalpel — инструменты для carving: сканируют диск по сигнатурам файлов (JPEG начинается с FF D8, PNG с 89 50 4E 47) и извлекают их даже без файловой системы.

Bulk_extractor — ищет и извлекает email, URL, кредитные карты, ключи шифрования, Bitcoin-адреса из больших файлов или дампов.

В CTF эти инструменты используют, когда файловая система повреждена или данные спрятаны в firmware.

На практике: получил дамп роутера — запускаешь binwalk — извлекаешь squashfs или zip; видишь повреждённый диск — запускаешь foremost или scalpel — получаешь удалённые картинки с флагом.

Strings, xxd, hex редакторы, Volatility Framework

Strings — ищет все читаемые строки в файле или дампе. Флаги часто лежат в открытом виде в памяти или в бинарниках.

xxd — показывает файл в шестнадцатеричном виде с ASCII справа. Позволяет увидеть текст и структуру.

Hex-редакторы — программы, где можно просматривать и редактировать любой файл побайтно.

Volatility Framework — инструмент для анализа дампов памяти (процессы, соединения, ключи).

В CTF strings — первое, что запускают на любом файле или дампе. Volatility — для дампов памяти.

На практике: получил бинарник или дамп — запускаешь strings — ищешь "flag{" или "CTF{"; подозрительный файл — открываешь в hex-редакторе и смотришь на конец файла или padding.

YARA, bulk_extractor, photorec, testdisk

YARA — язык для создания правил поиска. Можно написать правило "ищи строки, начинающиеся с flag{" — и инструмент найдёт все совпадения в файлах или дампах.

Bulk_extractor — автоматически ищет email, URL, ключи, кредитки и извлекает их в отчёты.

PhotoRec — carving-инструмент, восстанавливает сотни типов файлов по сигнатурам, игнорирует файловую систему.

TestDisk — восстанавливает удалённые разделы, исправляет загрузочные сектора, ищет потерянные файловые системы.

В CTF YARA используют для поиска флага по шаблону; PhotoRec и TestDisk — когда диск сильно повреждён.

На практике: получил большой дамп — запускаешь bulk_extractor — видишь все URL и ключи; диск повреждён — запускаешь TestDisk для восстановления разделов, потом PhotoRec для файлов.

Итог

Инструменты и общие техники форензики — это программы, которые помогают находить файлы, строки, ключи и следы в образах дисков, дампах и бинарниках. В forensics CTF они используются почти в каждой задаче: флаг прячут в удалённом файле, в памяти или в дампе.

Главное запомнить: Autopsy и FTK — для анализа дисков; binwalk, foremost, scalpel — для извлечения встроенных файлов; strings и YARA — для поиска текста; PhotoRec и TestDisk — для восстановления при повреждённой файловой системе.

Ключевые слова/термины выучить: Autopsy, The Sleuth Kit, FTK Imager, X-Ways Forensics, Binwalk, foremost, scalpel, bulk_extractor, strings, xxd, hex редактор, YARA, PhotoRec, TestDisk.

Эти знания помогут тебе сразу после получения образа или дампа запустить strings и найти флаг в открытом виде. В задачах ты сможешь восстановить удалённый документ с помощью PhotoRec, извлечь встроенную прошивку через binwalk или найти ключ в дампе с помощью bulk_extractor — и получить флаг без сложного ручного поиска.

Цифровые изображения и стеганография

Цифровое изображение — это картинка, которая хранится в файле и состоит из маленьких точек (пикселей). Стеганография — это способ спрятать секретное сообщение внутри обычной картинки так, чтобы никто не заметил. В категории forensics и misc на CTF эта тема встречается очень часто: флаг прячут именно в изображении, и нужно его найти. Новичку важно понять, как устроены картинки и как в них прячут данные, потому что это один из самых простых и красивых способов спрятать секрет. Знание поможет тебе быстро проверять картинки на скрытые сообщения и доставать флаг там, где другие видят просто фото.

Словарь терминов

Форматы изображений (JPEG, PNG, BMP, GIF, WebP) и их метаданные (EXIF, XMP, IPTC)

Каждый формат изображения хранит картинку по-своему.

JPEG сжимает фото с потерями, чтобы файл был маленьким. В нём есть метаданные EXIF — информация о камере, дате съёмки, координатах GPS. Иногда флаг прячут именно в EXIF.

PNG хранит картинку без потерь и поддерживает прозрачность. У него есть метаданные tEXt, zTXt, iTXt — туда легко спрятать текст.

BMP — простой формат Windows, не сжимает данные. Метаданных почти нет, но можно прятать в padding или конце файла.

GIF — для картинок с малым количеством цветов и анимаций. Хранит палитру (таблицу цветов) — туда можно спрятать данные.

WebP — новый формат, сжимает лучше JPEG и PNG. Поддерживает метаданные EXIF и XMP.

В CTF метаданные — самый простой способ спрятать флаг. Часто достаточно посмотреть EXIF или tEXt в PNG.

На практике: если видишь картинку — сразу проверяешь метаданные EXIF/XMP/IPTC — флаг часто лежит там.

Техники стеганографии (LSB, DCT, palette-based, outguess, steghide)

LSB (Least Significant Bit) — самый простой способ. Каждый пиксель состоит из красного, зелёного и синего цвета (0–255). Младший бит (самый правый в двоичной записи) почти не влияет на цвет. Можно менять младшие биты на биты сообщения — картинка почти не изменится.

DCT — техника в JPEG. Картинка разбивается на блоки 8×8, применяется математика (дискретное косинусное преобразование), и в коэффициенты прячут данные.

Palette-based — в GIF или PNG с палитрой (256 цветов) меняют порядок цветов в палитре или используют неиспользуемые цвета.

OutGuess и Steghide — старые программы, которые автоматически прячут данные в JPEG или PPM с защитой от обнаружения.

В CTF LSB и palette-based — самые частые техники. Флаг прячут в младших битах или палитре GIF.

На практике: если видишь картинку без видимых изменений — проверяешь младшие биты каждого канала RGB; в GIF — смотришь порядок палитры.

Обнаружение и извлечение скрытых данных (stegdetect, zsteg, stegsolve)

Steganalysis — поиск следов стеганографии. Программы ищут аномалии: странные распределения цветов, изменения в младших битах, необычные метаданные.

Stegdetect — ищет скрытые данные в JPEG (JSteg, F5, OutGuess).

Zsteg — ищет данные в PNG и BMP, проверяет LSB и палитру.

Stegsolve — программа, где можно смотреть разные биты, плоскости, XOR и сравнивать картинки.

В CTF эти инструменты помогают быстро понять, есть ли стего и в каком формате. Если картинка подозрительная — открываешь в Stegsolve и смотришь биты.

На практике: загружаешь картинку в Stegsolve — переключаешь каналы и биты — видишь скрытый текст или QR-код.

Анализ артефактов сжатия и редактирования изображений

Каждый раз, когда сохраняешь JPEG, появляются артефакты сжатия — квадратики 8×8, шум в цветах, размытие. Если картинка отредактирована — артефакты отличаются.

В PNG или GIF после редактирования могут остаться следы предыдущих версий или разных сжатий.

В CTF флаг иногда прячут в разнице артефактов: сравнивают оригинал и отредактированную картинку — в местах изменений виден текст.

На практике: если дают две похожие картинки — сравниваешь их побитово или смотришь разницу в Stegsolve — флаг появляется в местах отличий.

Итог

Цифровые изображения и стеганография — это когда в обычной картинке прячут секретное сообщение. В forensics и misc CTF это одна из самых популярных тем: флаг почти всегда в изображении, и нужно его найти.

Главное запомнить: картинки хранят данные в пикселях, метаданных и палитре; LSB — самый простой способ спрятать; метаданные EXIF/XMP — первое, что проверять; артефакты сжатия и разница картинок выдают скрытое.

Ключевые слова/термины выучить: пиксель, JPEG, PNG, BMP, GIF, WebP, EXIF, XMP, IPTC, LSB, DCT, palette-based, steganalysis.

Эти знания помогут тебе сразу проверять каждую картинку в задаче: смотришь метаданные — часто флаг там; проверяешь младшие биты — видишь скрытый текст; сравниваешь две картинки — находишь разницу с флагом. В задачах ты сможешь за минуты достать сообщение из LSB, палитры GIF или метаданных PNG — и получить флаг без лишних поисков.