Misc 题目适合维护一套小而稳定的工具箱,减少重复查命令。
PCAP
tshark -r sample.pcapng -q -z conv,tcp
tshark -r sample.pcapng -Y "http" -T fields -e http.host -e http.request.uri
binwalk -e suspicious.binImages
exiftool image.png
pngcheck -v image.png
zsteg image.png
steghide info image.jpg[!SUCCESS] 工具输出先保存,再做二次分析。很多线索只出现一次。
Habit
遇到不确定格式,先 file、xxd、strings,再考虑专用工具。