misc

隐写

常见编码：

Base

Base64：包含大写字母（A-Z）,小写字母（a-z），数字（0-9）这样就有62个字符以 及+/;

Base32:而Base32中只有大写字母（A-Z）和数字234567；

Base16:而Base16就是16进制，他的范围是数字(0-9)，字母（ABCDEF）

当ASCll用Base加密达不到所对应的位数的时候用=号补齐；

移位密码：

e.g. 凯撒密码就是移动位数为3位的移位密码。

敲击码:

摩斯密码:

摩尔斯电码只使用零和一两种状态的二进制代码，它的代码包括五种：短促的点信号“・”，保持一定时间的长信号“—”，表示点和划之间的停顿、每个词之间中等的停顿，以及句子之间长的停顿。

jsfuck

只使用 []!()+6种符号

aaencode

大量颜文字

图片隐写

修改宽高，lsb，silenteye，outguess，F5，遇到GIF用分帧工具，仔细查看每一帧

音频隐写

silenteye，audacity，Mp3Stego

流量分析

1. 查找类flag关键字

2. 确定协议和事件

3. 确定ip

4. 过滤

5. 数据流仔细观察

6. 导出可能藏有flag的文件

内存取证

1.使用imageinfo插件来猜测dump文件的profile值：WinXPSP2x86 volatility –f mem.vmem imageinfo 同时，这个命令可以用来获取内存镜像的摘要信息，比如系统 版本，硬件构架等
2.shell的命令 volatility -f mem.vmem --profile=WinXPSP2x86 volshell
3.列举进程 volatility -f mem.vmem --profile=WinXPSP2x86 pslist这个命令可以直接列出运行的进程， 如果进程已经结束，会在Exit 列显示日期和时间，表明进程已经结束
4.列举缓存在内存中的注册表 volatility -f mem.vmem --profile=WinXPSP2x86 hivelist
5.获取SAM表中的用户 volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SAMDomainsAccountUsersNames"
6.扫描内存中的文件 volatility -f mem.vmem --profile=WinXPSP2x86 filescan
7.filescan结合grep命令筛选 volatility -f mem.vmem --profile=WinXPSP2x86 filescan |grep "exe"
8. 导出内存中缓存的文件 volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1464 -D forensic/

reverse

遇到exe

使用ida，快捷键：
F2：设置断点，只要在光标定位的位置（上图中灰⾊条）按F2键即可，再按⼀次F2键则会删除断点。
F3：打开⼀个可执⾏程序，进⾏调试分析（或者直接拖进来，效果应该差不多）
F4：运⾏到选定位置。作⽤就是直接运⾏到光标所在位置处暂停。
F5：缩⼩、还原当前窗⼝
F7：单步步⼊。遇到 call 等⼦程序时会进⼊其中，进⼊后⾸先会停留在⼦程序的第⼀条指令
F8：单步步过。每按⼀次这个键执⾏⼀条反汇编窗⼝中的⼀条指令，遇到 call 等⼦程序不进⼊其代码。
F9：运⾏。按下这个键如果没有设置相应断点的话，被调试的程序将直接开始运
CTR+F2：重新运⾏程序到起始处，⼀般⽤于重新调试程序
CTR+F9：执⾏到返回。此命令在执⾏到⼀个 ret (返回指令)指令时暂停，常⽤于从系统领空返回到我们调试的程序领空。
ALT+F9：执⾏到⽤户代码。可⽤于从系统领空快速返回到我们调试的程序领空。

遇到.pyc

先网上随便找一个反编译器用起来，以后会考虑在电脑安装uncompyle

遇到.apk

使用apkide+jeb

遇到.class

使用jd-gui