CTF フォレンジックス & ブロックチェーン

フォレンジックス CTF チャレンジの簡易リファレンスです。各技法にはワンライナーがあります。詳細はサポートファイルを参照してください。

前提条件

Python パッケージ (全プラットフォーム):

pip install volatility3 Pillow numpy matplotlib

Linux (apt):

apt install binwalk foremost libimage-exiftool-perl tshark sleuthkit \
  ffmpeg steghide testdisk john pcapfix

macOS (Homebrew):

brew install binwalk exiftool wireshark sleuthkit ffmpeg \
  testdisk john-jumbo

Ruby gems (全プラットフォーム):

gem install zsteg

その他のリソース

• 3d-printing.md - 3D プリント フォレンジックス (PrusaSlicer バイナリ G-code、QOIF、heatshrink)
• windows.md - Windows フォレンジックス (レジストリ、SAM、イベントログ、ごみ箱、NTFS 代替データストリーム、USN ジャーナル、PowerShell 履歴、Defender MPLog、WMI 永続性、Amcache)
• network.md - ネットワーク フォレンジックス基礎 (tcpdump、TLS/SSL キーログ復号、コアダンプからの TLS マスターキー抽出、Wireshark、PCAP、ポートスキャン、SMB3 復号、5G/NR プロトコル、WordPress 偵察、認証情報、USB HID ステノ、BCD エンコーディング、HTTP ファイルアップロード流出、タイムスタンプ順序によるスプリットアーカイブ再構成)
• network-advanced.md - 高度なネットワーク フォレンジックス (パケット間隔タイミング エンコーディング、NTLMv2 ハッシュ クラッキング、TCP フラグ隠蔽チャネル、DNS 最後のバイト ステガノグラフィ、DNS 末尾バイト バイナリ エンコーディング、XOR + ZIP と mDNS キーを使用したマルチレイヤー PCAP、Brotli 圧縮爆弾シーム解析、LSARPC 経由の SMB RID リサイクル、Timeroasting MS-SNTP ハッシュ抽出、dnscat2 再構成、RADIUS 共有秘密クラッキング、RC4 ストリーム識別、ICMP ペイロード バイト回転、ICMP ping タイムディレイ隠蔽チャネル)
• peripheral-capture.md - USB/HID/Bluetooth 周辺機器トラフィック再構成 (USB HID マウス/ペン描画復旧、USB HID キーボード キャプチャ復号、USB キーボード LED モールス符号流出、USB HID キーボード矢印キー ナビゲーション追跡、Bluetooth RFCOMM パケット再構成)
• disk-and-memory.md - コア ディスク/メモリ フォレンジックス (Volatility、ディスク マウント/カービング、VM/OVA/VMDK、VMware スナップショット、GIMP ロー メモリダンプ ビジュアル検査、コアダンプ、Windows KAPE トリアージ、PowerShell ランサムウェア、Android フォレンジックス、Docker コンテナ フォレンジックス、クラウドストレージ フォレンジックス、BSON 再構成、TrueCrypt/VeraCrypt マウント)
• disk-advanced.md - 高度なディスク/メモリ技法 (削除されたパーティション、ZFS フォレンジックス、GPT GUID エンコーディング、VMDK スパース解析、メモリダンプ 文字列カービング、ランサムウェア キー復旧、WordPerfect マクロ XOR、minidump ISO 9660 復旧、APFS スナップショット復旧、RAID 5 XOR 復旧、HFS+ リソースフォーク復旧、Kyoto Cabinet ハッシュ DB フォレンジックス、SQLite 編集履歴再構成)
• disk-recovery.md - ディスク復旧と抽出パターン (LUKS マスターキー復旧、PRNG タイムスタンプ シード ブルートフォース、VBA マクロ バイナリ復旧、FemtoZip 圧縮解除、XFS ファイルシステム再構成、tar 重複エントリ抽出、ネストされたマトリョーシカ ファイルシステム抽出、ヌルバイト インターリーブによるアンチカービング、BTRFS サブボリューム/スナップショット復旧、FAT16 空き領域データ復旧、Sleuth Kit fls/icat 経由の FAT16 削除ファイル復旧、fsck 経由の ext2 孤立イノード復旧、破損 ZIP ヘッダー修復)
• steganography.md - 一般的なステガノグラフィ (バイナリ境界ステゴ、PDF マルチレイヤー ステゴ、SVG キーフレーム、PNG 並べ替え、ファイル オーバーレイ、GIF フレーム差分 モールス符号、GZSteg + spammimic、スプレッドシート 周波数復旧、Kitty ターミナル グラフィックス プロトコル復号、ANSI エスケープ シーケンス ステガノグラフィ、オートステレオグラム 解法、2レイヤー バイト+行 インターリーブ、マルチストリーム ビデオ コンテナ ステゴ、プログレッシブ PNG レイヤー XOR 復号化、曲線反射からの QR コード再構成)
• stego-image.md - 画像固有のステガノグラフィ (JPEG 未使用 DQT テーブル LSB、BMP ビットプレーン QR 抽出、画像パズル再構成、F5 JPEG DCT 比率検出、PNG 未使用パレット エントリ ステゴ、QR コード タイル再構成、シード基盤 ピクセル置換 + マルチビットプレーン QR、JPEG サムネイル ピクセル-テキスト マッピング、条件付き LSB とピクセル フィルタリング、JPEG スラック領域、最近傍補間 ステゴ、RGB パリティ ステガノグラフィ)
• stego-advanced.md - 高度なステガノグラフィ パート 1: オーディオおよび信号技法 (FFT 周波数領域、DTMF オーディオ、SSTV+LSB、DotCode バーコード、カスタム周波数 デュアルトーン キーパッド、マルチトラック オーディオ 差分減算、クロスチャネル マルチビット LSB、オーディオ FFT ミュージカル ノート、オーディオ メタデータ 8進数 エンコーディング、ネストされた tar 空白文字 エンコーディング、DeepSound オーディオ ステゴ パスワード クラッキング、オーディオ波形 バイナリ エンコーディング、オーディオ スペクトログラム 隠し QR)
• stego-advanced-2.md - 高度なステガノグラフィ パート 2: ビデオ、画像変換、形式固有技法 (ビデオ フレーム蓄積、リバースド オーディオ、ビデオ フレーム平均化、JPEG XL TOC 置換 ステガノグラフィ、Arnold の猫 地図 復号化、高解像度 SSTV カスタム FM 復調、MJPEG FFD9 末尾バイト ステゴ、EXIF zlib + Stegano ピクセル パターン、PDF xref 隠蔽チャネル、ANSI エスケープ コード ステゴ、ピクセルワイズ ECB 重複排除)
• linux-forensics.md - Linux/app フォレンジックス (ログ解析、Docker イメージ フォレンジックス、攻撃チェーン、ブラウザ認証情報、Firefox 履歴、TFTP、TLS 弱 RSA、USB オーディオ、Git ディレクトリ復旧、KeePass v4 クラッキング、Git reflog/fsck squash 復旧、ブラウザ成果物解析 (Chrome/Chromium/Firefox 履歴、クッキー、ダウンロード、ローカルストレージ、セッション復元)、バイト ブルートフォース経由の破損 git blob 修復、VBA マクロ Excel セルデータ から ELF バイナリ抽出、pyrasite 経由の Python インメモリ ソース復旧)
• signals-and-hardware.md - ハードウェア信号 復号化コード付き (VGA フレーム解析、HDMI TMDS シンボル復号、DisplayPort 8b/10b + LFSR 復号化器)、Voyager Golden Record オーディオ、Saleae Logic 2 UART 復号、Flipper Zero .sub ファイル、サイドチャネル 電力解析 (DPA)、キーボード 音響サイドチャネル、CD オーディオ ディスク イメージ ステガノグラフィ (CIRC デインターリーブ + スパイラル レンダリング)、キャップスロック LED モールス符号 ビデオから、Linux input_event キーロガー ダンプ解析、シリアル UART from WAV オーディオ、USB MIDI Launchpad グリッド再構成

---

ピボットが必要な場合

• 暗号化されたブロブを復旧して、難しい部分が RSA、AES、または格子問題である場合は /ctf-crypto に切り替えます。
• 証拠が本当にマルウェア ステージング、ビーコン設定抽出、またはパックされたサンプルを指しており、 /ctf-malware に切り替えます。
• アーティファクトが Web アプリ バックアップまたは API ダンプで、残りの問題がアプリケーション ロジックである場合は /ctf-web に切り替えます。
• フォレンジック証拠が本当のエンコーディング パズル、ステガノグラフィ トリック、またはエキゾチックな形式であり、真のフォレンジックスではない場合は /ctf-misc に切り替えます。
• インフラストラクチャをトレース、アクター帰属、またはフォレンジック調査結果から公開レコードを調査する必要がある場合は /ctf-osint に切り替えます。
• 復旧されたアーティファクトがコンパイル済みバイナリまたはファームウェアで、逆アセンブルと解析が必要な場合は /ctf-reverse に切り替えます。

クイックスタート コマンド

# ファイル解析
file suspicious_file
exiftool suspicious_file     # メタデータ
binwalk suspicious_file      # 組み込みファイル
strings -n 8 suspicious_file
hexdump -C suspicious_file | head  # マジックバイト確認

# ディスク フォレンジックス
sudo mount -o loop,ro image.dd /mnt/evidence
fls -r image.dd              # ファイル一覧
photorec image.dd            # 削除されたファイルをカービング

# メモリ フォレンジックス (Volatility 3)
vol3 -f memory.dmp windows.info
vol3 -f memory.dmp windows.pslist
vol3 -f memory.dmp windows.filescan

完全な Volatility プラグイン リファレンス、VM フォレンジックス、コアダンプ解析については disk-and-memory.md を参照してください。

ログ解析

grep -iE "(flag|part|piece|fragment)" server.log     # フラグ フラグメント
grep "FLAGPART" server.log | sed 's/.*FLAGPART: //' | uniq | tr -d '\n'  # 再構成
sort logfile.log | uniq -c | sort -rn | head         # 異常を検出

Linux 攻撃チェーン解析と Docker イメージ フォレンジックスについては linux-forensics.md を参照してください。

Windows イベント ログ (.evtx)

主要なイベント ID:

• 1001 - バグチェック/再起動
• 1102 - 監査ログをクリア
• 4720 - ユーザーアカウント作成
• 4781 - アカウント名変更

RDP セッション ID (TerminalServices-LocalSessionManager):

• 21 - セッションログオン成功
• 24 - セッション切断
• 1149 - RDP 認証成功 (RemoteConnectionManager、送信元 IP あり)

import Evtx.Evtx as evtx
with evtx.Evtx("Security.evtx") as log:
    for record in log.records():
        print(record.xml())

完全なイベント ID テーブル、レジストリ解析、SAM 解析、USN ジャーナル、アンチフォレンジックス検出については windows.md を参照してください。

• NTFS 代替データストリーム (ADS): 名前付き NTFS ストリーム経由でファイルに添付された隠しデータ。dir/Explorer には見えません。fls -r image.dd | grep ":" で検出、icat で抽出します。windows.md を参照してください。

ログが削除された場合

アテナー がイベント ログをクリアした場合、次の代替ソースを使用してください:

1. USN Journal ($J) - ファイル操作タイムライン (MFT ref、タイムスタンプ、理由)
2. SAM レジストリ - キー last_modified タイムスタンプからのアカウント作成
3. PowerShell 履歴 - ConsoleHost_history.txt (USN DATA_EXTEND = コマンド タイミング)
4. Defender MPLog - 脅威検出と ASR イベントを含む別個のログ
5. Prefetch - プログラム実行証拠
6. ユーザー プロファイル作成 - 最初のログイン時間 (USN ジャーナルのプロファイル ディレクトリ)

詳細な解析コードとアンチフォレンジックス検出チェックリストについては windows.md を参照してください。

ステガノグラフィ

steghide extract -sf image.jpg
zsteg image.png              # PNG/BMP 解析
stegsolve                    # ビジュアル解析

• バイナリ境界ステゴ: 黒/白ピクセル (1px イメージ境界) は時計回りでビットをエンコード

• FFT 周波数領域: 画像データは 2D FFT マグニチュード スペクトラムに隠されています。np.fft.fft2 ビジュアライゼーションを試してください

• DTMF オーディオ: 電話トーンはデータをエンコード。multimon-ng -a DTMF で復号

• マルチレイヤー PDF: 隠しコメント、PDF 後データ、キーワードとの XOR、最終レイヤー ROT18 をチェック

• SSTV + LSB: SSTV 信号はレッドヘリング の場合があります。stegolsb でオーディオ サンプルの 2 ビット LSB をチェック

• SVG キーフレーム: アニメーション keyTimes/values 属性は、塗りつぶし色交互によるバイナリ/モールス符号をエンコード

• PNG チャンク並べ替え: チャンク順序を修正: IHDR → 補助 → IDAT (順序) → IEND

• ファイル オーバーレイ: IEND 後にアーカイブが追加されていないかチェック (マジックバイト上書き)

• APNG フレーム抽出: アニメーション PNG は複数のフレームを持ちます。apngdis で抽出するか、fdAT/fcTL チャンクを解析します。steganography.md を参照してください。

• PNG 高さ/CRC 操作: IHDR 高さフィールドを変更して、CRC が一致するまでブルートフォース して隠れた行を表示。steganography.md を参照してください。

• ピクセル座標チェーン ステゴ: リンクリスト トラバーサル (R=データ バイト、G/B=次のピクセル座標)。stego-image.md を参照してください。

• AVI フレーム差分: 連続するビデオ フレームを XOR して、ピクセル差分に隠れたデータを表示。stego-image.md を参照してください。

• カスタム周波数 DTMF: 非標準デュアルトーン周波数。まずスペクトログラムを生成 (ffmpeg -i audio -lavfi showspectrumpic)、カスタム グリッドをキーパッド数字にマッピング、可変長 ASCII を復号

• JPEG DQT LSB: 未使用量子化テーブル (ID 2, 3) は LSB エンコードデータを搭載。Image.open().quantization でアクセスして、64 値の各ビット 0 を抽出

• マルチトラック オーディオ 減算: MKV/ビデオの 2 つのほぼ同じオーディオ トラック。sox -m a0.wav "|sox a1.wav -p vol -1" diff.wav で共有コンテンツをキャンセル、フラグは差分信号のスペクトログラム (5-12 kHz 帯域) に出現

• パケット間隔タイミング: 2 つの異なる間隔値 (10ms/100ms など) を持つ同一パケット はバイナリをエンコード。インターフェイスでフィルタ、パケット間デルタを計算、ビット にしきい値

完全なコード例と復号ワークフローについては steganography.md、stego-advanced.md、stego-advanced-2.md を参照してください。

PDF 解析

exiftool document.pdf        # メタデータ (フラグを隠すことが多い!)
pdftotext document.pdf -     # テキスト抽出
strings document.pdf | grep -i flag
binwalk document.pdf         # 組み込みファイル

高度な PDF ステゴ (Nullcon 2026 rdctd): 6 つの技法 -- 目に見えないテキスト セパレーター、エスケープされた中括弧を持つ URI アノテーション、ぼやけた画像上の Wiener 復号、ベクトル矩形 QR コード、圧縮オブジェクト ストリーム (mutool clean -d)、ドキュメント メタデータ フィールド。

完全な PDF ステガノグラフィ技法とコードについては steganography.md を参照してください。

ディスク / VM / メモリ フォレンジックス

# ディスク イメージ
sudo mount -o loop,ro image.dd /mnt/evidence
fls -r image.dd && photorec image.dd

# VM イメージ (OVA/VMDK)
tar -xvf machine.ova
7z x disk.vmdk -oextracted "Windows/System32/config/SAM" -r

# メモリ (Volatility 3)
vol3 -f memory.dmp windows.pslist
vol3 -f memory.dmp windows.cmdline
vol3 -f memory.dmp windows.netscan
vol3 -f memory.dmp windows.dumpfiles --physaddr <addr>

# 文字列カービング
strings -a -n 6 memdump.bin | grep -E "FLAG|SSH_CLIENT|SESSION_KEY"

# コアダンプ
gdb -c core.dump  # info registers, x/100x $rsp, find "flag"

完全な Volatility プラグイン リファレンス、VM フォレンジックス、VMware スナップショットについては disk-and-memory.md を参照してください。削除されたパーティション復旧、ZFS フォレンジックス、ランサムウェア解析については disk-advanced.md を参照してください。

Windows パスワード ハッシュ

# impacket で抽出、hashcat -m 1000 でクラック
python -c "from impacket.examples.secretsdump import *; SAMHashes('SAM', LocalOperations('SYSTEM').getBootKey()).dump()"

SAM の詳細については windows.md を、PCAP からの NTLMv2 クラッキングについては network-advanced.md を参照してください。

ビットコイン トレーシング

• mempool.space API を使用: https://mempool.space/api/tx/<TXID>
• Peel チェーン: 常に大きい方の出力をフォロー。ラウンド数は peel を示す

一般的でないファイル マジックバイト

マジック	形式	拡張子	注釈
OggS	Ogg コンテナ	.ogg	オーディオ/ビデオ
RIFF	RIFF コンテナ	.wav,.avi	サブ形式をチェック
%PDF	PDF	.pdf	メタデータと組み込みオブジェクトをチェック
GCDE	PrusaSlicer バイナリ G-code	.g, .bgcode	3d-printing.md を参照

フラグの一般的な場所

• PDF メタデータ フィールド (著者、タイトル、キーワード)
• 画像 EXIF データ
• 削除されたファイル (ごみ箱 $R ファイル)
• レジストリ値
• ブラウザ履歴
• ログ ファイル フラグメント
• メモリ文字列

WMI 永続性解析

パターン (Backchimney): マルウェアは永続性に WMI イベント サブスクリプションを使用 (MITRE T1546.003)。

python PyWMIPersistenceFinder.py OBJECTS.DATA

• CommandLineEventConsumer を使用した FilterToConsumerBindings を検索
• コンシューマー コマンドの Base64 エンコード PowerShell
• システム イベント (ログオン、タイマー) によってトリガーされるイベント フィルター

WMI リポジトリ解析の詳細については windows.md を参照してください。

ネットワーク フォレンジックス クイック リファレンス

• TFTP netascii: バイナリ転送が破損。data.replace(b'\r\n', b'\n').replace(b'\r\x00', b'\r') で修正
• TLS キーログ復号化: SSLKEYLOGFILE または RSA 秘密鍵を Wireshark にインポート (Edit → Preferences → Protocols → TLS)
• TLS 弱 RSA: 証明書を抽出、modulus を因数分解、rsatool で秘密鍵を生成、Wireshark に追加
• USB オーディオ: tshark -e usb.iso.data でアイソクロナス データを抽出、Audacity でロー PCM として インポート
• PCAP からの NTLMv2: NTLMSSP_AUTH からサーバー チャレンジ + NTProofStr + blob を抽出、ブルートフォース
• WPA/WEP WiFi 復号化: aircrack-ng -w wordlist capture.pcap は WPA ハンドシェイクをクラック。WEF は十分な IV でクラック。network.md を参照してください。
• PCAP 修復: pcapfix -d corrupted.pcap は Wireshark ロード用に破損した PCAP ヘッダー/チェックサムを修復。network.md を参照してください。
• USB HID キーボード復号化: USB キャプチャから 8 バイト HID レポートを抽出。バイト 2 = キーコード、バイト 0 = 修飾子 (Shift)。peripheral-capture.md を参照してください。
• dnscat2 再構成: 16 進数/base32 サブドメイン ラベルをデコード、9 バイト dnscat2 ヘッダーを削除、再送信を重複排除、ペイロードを再構成。network-advanced.md を参照してください。
• USB キーボード LED 流出: ホスト-デバイス HID SET_REPORT パケットは Caps Lock LED をトグル。タイミングはモールス符号をエンコード。peripheral-capture.md を参照してください。

完全な TLS/TFTP/USB ワークフローについては network.md を SMB3 復号化と認証情報抽出については参照してください。

ブラウザ フォレンジックス

• Chrome/Edge: Login Data SQLite を DPAPI マスターキーで AES-GCM 復号
• Firefox: places.sqlite をクエリ -- SELECT url FROM moz_places WHERE url LIKE '%flag%'

完全なブラウザ認証情報復号化コードについては linux-forensics.md を参照してください。

追加の技法クイック リファレンス

• Docker イメージ フォレンジックス: 設定 JSON はクリーンアップ後もすべての RUN コマンドを保持。tar xf app.tar を実行してから設定 blob を検査。linux-forensics.md を参照してください。
• Linux 攻撃チェーン: auth.log、.bash_history、最近のバイナリ、PCAP をチェック。linux-forensics.md を参照してください。
• RAID 5 XOR 復旧: 3 ディスク RAID 5 の 2 つのディスク → バイト単位で XOR して 3 番目のディスクを復旧: bytes(a ^ b for a, b in zip(disk1, disk3))。disk-advanced.md を参照してください。
• GIMP ロー メモリダンプ ビジュアル検査: Volatility が失敗したとき、.dmp を GIMP でロー RGB データとしてモニター幅 (~1920) で開く。ユーザーのデスクトップのフレームバッファ スクリーンショットを見つけるまでスクロール。disk-and-memory.md を参照してください。
• Kyoto Cabinet ハッシュ DB フォレンジックス: ゼロ キーを使用した KC ハッシュ データベースからキー順序を復旧するには、連続プローブ キーを挿入して、各キーがどのハッシュスロットを上書きするかを見つけるためにバイナリ差分。disk-advanced.md を参照してください。
• PowerShell ランサムウェア: minidump からスクリプトを抽出、AES キーを見つけ、SMTP 添付ファイルを復号化。disk-and-memory.md を参照してください。
• Linux ランサムウェア + メモリダンプ: Volatility が信頼できない場合、ロー メモリ候補スキャンと magic-byte 検証により AES キーを復旧。ファイル/偽陰性を逃さないようにクリーンに zip を再抽出。disk-advanced.md を参照してください。
• 削除されたパーティション: testdisk または kpartx -av。disk-advanced.md を参照してください。
• ZFS フォレンジックス: ラベル再構成、Fletcher4 チェックサム、PBKDF2 クラッキング。disk-advanced.md を参照してください。
• BSON 再構成: ロー バイトから BSON (Binary JSON) ドキュメント を再構成。bson Python ライブラリで解析。disk-and-memory.md を参照してください。
• TrueCrypt マウント: veracrypt --mount または cryptsetup open --type tcrypt で、既知のパスワードを使用して TrueCrypt/VeraCrypt ボリュームをマウント。disk-and-memory.md を参照してください。
• ハードウェア信号: VGA/HDMI TMDS/DisplayPort、Voyager オーディオ、Saleae UART 復号、Flipper Zero。signals-and-hardware.md を参照してください。
• ビデオからの Caps-Lock LED モールス符号: OpenCV でセキュリティ カメラ フレーム全体の Caps-Lock LED ピクセルを追跡。on/off 継続時間がモールス符号をエンコード (short=dot、long=dash)。signals-and-hardware.md を参照してください。
• I2C プロトコル復号化: I2C バス キャプチャ (SDA/SCL 行) を復号して EEPROM またはセンサー通信からデータを抽出。signals-and-hardware.md を参照してください。
• 穿孔カード OCR: 標準エンコーディング グリッドを使用して穴の位置を文字にマッピングして IBM-29 穿孔カード イメージをデコード。signals-and-hardware.md を参照してください。
• USB HID マウス描画: ドロー モードごとに相対 HID 移動をビットマップとしてレンダー。モードを分離、ペン持ち上げをスキップ、5-8 倍にスケール。peripheral-capture.md を参照してください。
• サイドチャネル 電力解析: 多次元電力トレース (位置 × 推測 × トレース × サンプル)。トレース全体で平均、最大分散のサンプルを検索、リーク ポイントで最大電力の推測を選択。signals-and-hardware.md を参照してください。
• パケット間隔タイミング: PCAP の パケット間遅延 としてエンコードされたバイナリ データ。2 つの間隔値 = 2 つのビット値。network-advanced.md を参照してください。
• BMP ビットプレーン QR: RGB チャネルあたりビットプレーン 0-2 を NumPy で抽出。隠し QR は多くの場合ビット 1 (ビット 0 ではなく)。stego-image.md を参照してください。
• 画像パズル再構成: ピース境界間のピクセル差分をエッジ マッチ、グリッド内でのむさぼり配置。stego-image.md を参照してください。
• パスワード クラッキング付き DeepSound オーディオ ステゴ: deepsound2john.py でハッシュを抽出、John でクラック、WAV から隠しファイルを取得。スペクトログラムと DeepSound の両方を常にチェック。stego-advanced.md を参照してください。
• 曲面ガラス反射からの QR コード再構成: ビデオの ガラス 球反射から QR を手動で再構成。反転、デ ワープ、既知の明文プレフィックスを使用して早期バイトを修正、高 ECC が残りを修正。steganography.md を参照してください。
• オーディオ FFT ノート: 支配的な周波数 → ミュージカル ノート名 (A-G) はスペル単語。stego-advanced.md を参照してください。
• オーディオ メタデータ 8進数: Exiftool コメント (アンダースコア区切り 8進数) → ASCII/base64 にデコード。stego-advanced.md を参照してください。
• G-code ビジュアライゼーション: サイド投影 (XZ/YZ) はテキストを表示。3d-printing.md を参照してください。
• Git ディレクトリ復旧: 公開 .git ディレクトリの gitdumper.sh。linux-forensics.md を参照してください。
• KeePass v4 クラッキング: 標準 keepass2john は v4/Argon2 サポートを欠く。ivanmrsulja/keepass2john フォークまたは keepass4brute を使用。cewl でワードリストを生成。linux-forensics.md を参照してください。
• クロスチャネル マルチビット LSB: RGB チャネルあたり異なるビット位置 (R[0]、G[1]、B[2]) は隠しデータをエンコード。stego-advanced.md を参照してください。
• F5 JPEG DCT 検出: 平均 ±1 から ±2 AC 係数の比率は ~3:1 から ~1:1 に F5 で低下。スパース画像は二次 ±2/±3 メトリックが必要。stego-image.md を参照してください。
• PNG 未使用パレット ステゴ: 未使用の PLTE エントリ (ピクセルで参照されていない) は赤チャネル値で隠しデータを搭載。stego-image.md を参照してください。
• キーボード 音響 サイドチャネル: キーストローク オーディオからの MFCC 機能 + ラベル付き参照に対する KNN 分類。10ms ウィンドウはインパクト トランジェント をキャプチャ。signals-and-hardware.md を参照してください。
• TCP フラグ隠蔽チャネル: 6 TCP フラグ ビット (FIN/SYN/RST/PSH/ACK/URG) = 値 0-63、base64 文字をエンコード。意味不明なフラグ組み合わせを一定の dest ポート = 隠蔽データ。network-advanced.md を参照してください。
• Brotli 圧縮爆弾 シーム: 圧縮爆弾には繰り返しブロックがあります。フラグがシームでパターンを分断。隣接するブロックを比較して不連続性を見つけ、そのリージョンのみをデコンプレス。network-advanced.md を参照してください。
• Git reflog/fsck squash 復旧: git rebase --squash は git fsck --unreachable --no-reflogs で復旧可能な孤立オブジェクトを残します。linux-forensics.md を参照してください。
• DNS 末尾バイト バイナリ: DNS クエスチョン構造の後に追加されたバイト (0x30/0x31) はバイナリ ビットをエンコード。8 ビット MSB-first チャンク → ASCII。network-advanced.md を参照してください。
• 偽 TLS + mDNS キー + 印字可能マージ: TLS として偽装 TCP ストリームは ZIP を隠す。XOR キーは mDNS TXT レコードから。2 つの復号化配列を印字可能文字を選択してマージ。network-advanced.md を参照してください。
• シード基盤 ピクセル置換 ステゴ: 確定的ピクセル シャッフル (既知のシード による Fisher-Yates) + Y チャネルからの マルチビットプレーン インターリーブ LSB 抽出 → 隠し QR コード。stego-image.md を参照してください。
• BTRFS スナップショット 復旧: 削除されたファイルは BTRFS スナップショット/代替サブボリュームに保持。mount -o subvol=@backup で履歴コピーにアクセス。disk-recovery.md を参照してください。
• JPEG XL TOC 置換: JXL の プログレッシブ TOC 置換は、部分復号中のタイル収束順序を制御。増加するオフセットで切り詰め、最初に どのタイル が収束するかを測定 → 収束順序はフラグをエンコード。stego-advanced-2.md を参照してください。
• Kitty ターミナル グラフィックス: ESC_G プロトコルは base64 チャンク の zlib 圧縮 RGB 画像 データを埋め込みます。エスケープ シーケンスを削除、連結、圧縮解除、再構成。steganography.md を参照してください。
• ANSI エスケープ シーケンス ステゴ: フラグ テキストは ANSI カラー コードと点字文字の間にインターリーブ。エスケープ シーケンスと非 ASCII を削除するとレンダリングでは見えない。steganography.md を参照してください。
• オートステレオグラム 解法: 重複レイヤー、差分ブレンド、水平に ~100px シフト して隠し 3D テキストを表示。steganography.md を参照してください。
• 2レイヤー バイト+行 インターリーブ: 2 つのファイルがバイト インターリーブされ、その後スキャンライン インターリーブ。最初に偶数/奇数バイト (有効な画像) をデインターリーブ、次に偶数/奇数行をデインターリーブ。steganography.md を参照してください。
• SMB RID リサイクル: ゲスト認証 + LSARPC LsaLookupSids (RID インクリメント) PCAP から AD アカウントを列挙。network-advanced.md を参照してください。
• Timeroasting (MS-SNTP): NTP リクエスト (マシン RID) は DC から HMAC-MD5 ハッシュを抽出。hashcat -m 31300 でクラック。network-advanced.md を参照してください。
• Android フォレンジックス: APK を adb pull で抽出、apktool で解析、/data/data/<package>/ の shared_prefs/ と SQLite データベースをチェック。disk-and-memory.md を参照してください。
• Docker コンテナ フォレンジックス: docker save はレイヤー tar をエクスポート。削除されたファイルは以前のレイヤーに保持。docker history --no-trunc はビルド シークレットを表示。disk-and-memory.md を参照してください。
• クラウドストレージ フォレンジックス: S3/GCP/Azure バージョン管理は削除されたオブジェクトを保持。list-object-versions は削除されたフラグを復旧。disk-and-memory.md を参照してください。
• APFS スナップショット 復旧: コピーオンライト ファイルシステム はスナップショット の履歴ファイル状態を保持。異なる XID ブロック オフセット を icat で使用してトランザクション ID 全体でイノード を読み取り。disk-advanced.md を参照してください。
• Windows KAPE トリアージ: 事前収集アーティファクト ZIP。PowerShell 履歴 → Amcache → MFT → レジストリ ハイブで開始。disk-and-memory.md を参照してください。
• WordPerfect マクロ XOR: .wcm ファイル は埋め込み暗号化データを含むマクロを含む。XOR 式 (a+b)-2*(a&b) = ビット演算 XOR。disk-advanced.md を参照してください。
• コアダンプからの TLS マスターキー: コアダンプでセッション ID (Wireshark ハンドシェイク) を検索。それの 48 バイト前をマスターキーとして読み取り。Wireshark プレマスターシークレット ログファイルを作成。network.md を参照してください。
• バイト ブルートフォース経由の破損 git blob 修復: 単一バイト破損は SHA-1 を変更。各バイト位置 (256 × file_size) を ブルートフォース して git hash-object で検証。linux-forensics.md を参照してください。
• PCAP からのスプリット アーカイブ再構成: HTTP で転送された同じサイズのファイル (MD5 ハッシュ名) はアーカイブ フラグメント。Apache ディレクトリ リスティング タイムスタンプで順序付け、連結、パスワードを TCP チャット ストリームから抽出。network.md を参照してください。
• ビデオ フレーム蓄積: さまざまな位置でフラッシュ画像を含むビデオ。すべてのフレームを合成 (ピクセルごとに最大) して隠し QR コードまたは画像を表示。stego-advanced-2.md を参照してください。
• リバースド オーディオ: ガイダル オーディオが後方で音声のように聞こえます。sox audio.wav reversed.wav reverse または Audacity Effect → Reverse は隠しメッセージを表示。stego-advanced-2.md を参照してください。
• マルチストリーム ビデオ コンテナ ステゴ: 複数のビデオ ストリーム を持つ MP4/MKV。デフォルト ストリームはレッド ヘリング、フラグは二次ストリーム。ffprobe -hide_banner file.mp4 で列挙、ffmpeg -i file.mp4 -map 0:1 -frames:v 1 flag.jpg で抽出。steganography.md を参照してください。
• FAT16 空き領域 復旧: FAT16 ファイルシステムの未割り当てクラスタにフラグが隠されています。FAT テーブルを解析、空きクラスタを列挙 (エントリ = 0x0000)、データ リージョンを読み取り。disk-recovery.md を参照してください。
• Sleuth Kit (fls/icat) による FAT16 削除ファイル復旧: FAT 削除はディレクトリ エントリの最初のバイトを 0xE5 で置換しますが、データは残っています。fls -r -d image.img は削除エントリを一覧表示、icat image.img <inode> はイノードで復旧。disk-recovery.md を参照してください。
• fsck による Ext2 孤立イノード 復旧: 削除されたファイルは孤立イノードを残します。e2fsck -y disk.img は /lost+found に再接続。また debugfs lsdel または icat を使用。disk-recovery.md を参照してください。
• Linux input_event キーロガー ダンプ 解析: 24 バイト struct input_event バイナリ ダンプ。type==1 (EV_KEY)、value==1 (press) でフィルタ、input-event-codes.h 経由でキーコードをマップ。signals-and-hardware.md を参照してください。
• VBA マクロ フォレンジックス - Excel セルデータ から ELF バイナリ: Excel セル (数値)。VBA CByte((val-78)/3) は ELF バイトに変換。Python で再実装、マクロは実行しない。linux-forensics.md を参照してください。
• RGB パリティ ステガノグラフィ: ピクセルあたり R+G+B を合計。even=white、odd=black は隠しバイナリ ビットマップをレンダー。stego-image.md を参照してください。
• 隠し PDF オブジェクト: 未参照コンテンツ ストリーム オブジェクト は /Kids 配列にはありません。/Kids に追加、/Count をインクリメント、レンダリング。network-advanced.md を参照してください。
• Arnold の猫 地図 復号化: 正方形画像上の周期的カオス変換。元の再び出現するまで前方地図を反復。期間は 3*N を分割。stego-advanced-2.md を参照してください。
• pyrasite による Python インメモリ ソース復旧: 実行中の Python プロセスに pyrasite-shell をアタッチ、func_code オブジェクトを uncompyle6 (Python <=3.8) または pycdc (Python 3.9+) で逆コンパイル、シークレットの globals() をダンプ。linux-forensics.md を参照してください。
• HFS+ リソースフォーク 復旧: HFS+ リソースフォーク の隠しデータは binwalk/foremost には見えません。HFSExplorer + 010 Editor HFS テンプレートを使用して エクステント レコードを抽出。disk-advanced.md を参照してください。
• WAV オーディオからの シリアル UART: オーディオの スクエア波は UART シリアル データをエンコード。ボーレート、スタート/ストップ ビット、LSB-first バイト フレームをパース。[signals-and-hardware.md](signals-