2021-09-28 网安实验-杂项-SCTF-Misc400A

相关知识

WireShark

Wireshark是一个网络数据包分析软件，即通常所说的抓包软件。Wireshark可以抓取通过制定网卡的所有网络数据包，并根据数据包的格式尽可能显示出最为详细的信息，其支持各种主流的网络通信协议。Wireshark使用WinPCAP作为接口，直接与网卡进行数据交换。

Wireshark提供了显示过滤控制，使用tcp contains ".rar"过滤器可以过滤含有.rar字符的TCP数据包。使用“Follow TCP Stream”可以跟踪TCP数据流。

TrID

TrID是一款根据文件二进制数据特征进行判断的文件类型识别工具。虽然也有类似的文件类型识别工具，但是大多数都是使用硬编码的识别规则，而TrID则没有固定的匹配规则，TrID具有灵活的可扩展性，可以通过训练来进行文件类型的快速识别。

TrID通过附加的文件类型指纹数据库来进行匹配，可用于取证分析、未知文件识别等用途。

内存转储文件

内存转储文件也称为Dump文件。当进程发生异常即将终止时，可以将进程地址空间的内容以及有关进程状态的其他信息写入到一个.dmp文件之中，方便开发人员进行调试。

在Windows下可以使用Windbg对.dmp文件进行分析，通常在使用Windbg载入.dmp文件之后，使