Forensics CTF — что реально беру с собой в работу?
Для тех, кто часто прыгает в форензик квесты — что у вас в наборе железа и софта? У меня обычно постоянно открыты Wireshark, Volatility для памяти, и bulk_extractor на всякий случай. Образцы от дисков или флешек монтирую через autopsy или sleuthkit, если что-то сложное — добавляю hex-редактор (обычно bless или wxHexEditor). Иногда приходится копать в EXIF, поэтому exiftool всегда под рукой.
Интересно, как вы структурируете процесс? Я сначала быстро ищу явные артефакты — логи, подозрительные файлы, снэпшоты памяти. Потом уже вчитываюсь глубже, если задача сложная. Бывает, что пробую сразу несколько инструментов, чтобы сверить результаты.
А еще, если формат непонятный (какой-нибудь редкий дамп или контейнер), что обычно юзаете? Какие лайфхаки есть, чтобы не завязнуть на конвертации данных?
Как там с автоматизацией? Кто-то пишет свои скрипты, у меня пару штук на Python для парсинга и фильтрации, но времени мало допиливать.
Какой набор у вас? Может, есть незаменимые инструменты, о которых я не знаю?