Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/ctf-forensics

Name: ctf-forensics
Author: wgpsec

skills/ctf/ctf-forensics/SKILL.md

npx skillsauth add wgpsec/AboutSecurity ctf-forensics

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

CTF 数字取证

深入参考

以下参考资料按需加载，根据识别出的具体方向选择对应文件：

磁盘/内存取证（Volatility/VM/VMDK/分区恢复/勒索软件） → references/disk-and-memory.md
磁盘恢复（LUKS/BTRFS/XFS/RAID5/反雕刻） → references/disk-recovery.md
Windows 取证（注册表/SAM/事件日志/WMI/Amcache） → references/windows.md
Linux/应用取证（Docker/Git/浏览器/KeePass） → references/linux-forensics.md
网络取证基础（tcpdump/TLS解密/SMB3/USB音频） → references/network.md
高级网络取证（时序编码/NTLMv2/TCP隐蔽通道/DNS隐写） → references/network-advanced.md
通用隐写术（PDF/SVG/PNG/文件叠加/终端图形） → references/steganography.md
图像隐写术（JPEG DQT/BMP位平面/F5检测/调色板） → references/stego-image.md
高级隐写术（FFT/DTMF/音频/视频帧/JPEG XL） → references/stego-advanced.md
高级隐写术2（视频帧累积/反转音频/多层PNG/EXIF链） → references/stego-advanced-2.md
高级磁盘取证（删除分区恢复/ZFS/LVM Thin/APFS快照） → references/disk-advanced.md
外设捕获分析（USB HID鼠标绘图/键盘捕获解码/蓝牙） → references/peripheral-capture.md
硬件信号（VGA/HDMI/DisplayPort/功率侧信道/键盘声学） → references/signals-and-hardware.md
3D 打印取证（PrusaSlicer/G-code/QOIF） → references/3d-printing.md

分类决策树

拿到取证题？
├─ 文件分析
│  ├─ file/exiftool/binwalk → 识别格式与嵌入文件
│  ├─ 图片 → steghide/zsteg/stegsolve → [references/stego-image.md](references/stego-image.md)
│  ├─ 音频 → 频谱图/DTMF/SSTV → [references/stego-advanced.md](references/stego-advanced.md)
│  └─ PDF → 元数据/隐藏文本/多层 → [references/steganography.md](references/steganography.md)
├─ 磁盘/内存镜像
│  ├─ .dd/.img → mount -o loop,ro → fls/photorec
│  ├─ .ova/.vmdk → tar xf → 7z 提取
│  ├─ 内存 → Volatility3 (pslist/filescan/dumpfiles)
│  └─ RAID/ZFS/BTRFS → [references/disk-recovery.md](references/disk-recovery.md)
├─ 网络流量 (.pcap)
│  ├─ HTTP → tshark --export-objects
│  ├─ TLS → SSLKEYLOGFILE / 弱RSA密钥
│  ├─ SMB → 密钥解密 / NTLMv2 提取
│  └─ DNS → 隐蔽通道 / 尾字节编码
├─ Windows 事件日志 → [references/windows.md](references/windows.md)
├─ 硬件信号 → [references/signals-and-hardware.md](references/signals-and-hardware.md)
└─ 区块链 → mempool.space API / 剥离链追踪

快速启动命令

# 文件分析
file suspicious && exiftool suspicious && binwalk suspicious
strings -n 8 suspicious | grep -iE "flag|ctf"

# 磁盘取证
sudo mount -o loop,ro image.dd /mnt/evidence
fls -r image.dd && photorec image.dd

# 内存取证 (Volatility 3)
vol3 -f memory.dmp windows.pslist
vol3 -f memory.dmp windows.filescan
vol3 -f memory.dmp windows.dumpfiles --physaddr ADDR

# 网络流量
tshark -r capture.pcap -Y "http" --export-objects http,/tmp/out

隐写速查

| 格式 | 工具 | 说明 | |------|------|------| | JPEG | steghide / F5 检测 | DQT表/DCT系数比 | | PNG/BMP | zsteg / stegsolve | 位平面/调色板/LSB | | 音频 | multimon-ng / sox | DTMF/频谱/反转 | | 视频 | 帧累积/逐帧差分 | 闪烁隐藏QR | | PDF | exiftool + binwalk | 元数据/注释/EOF后数据 |

Windows 关键事件 ID

| ID | 含义 | |----|------| | 1102 | 审计日志清除 | | 4720 | 用户创建 | | 4781 | 账户重命名 | | 21 (TSLocal) | RDP 登录成功 |

Windows 事件日志

EVTX 分析关注时间戳（TimeCreated / SystemTime）排序关键事件

wgpsec/ctf-forensics

skills/ctf/ctf-forensics/SKILL.md

CTF 数字取证与信号分析技术。当挑战提供磁盘镜像(.dd/.E01)、内存 dump(.raw/.vmem)、网络抓包(.pcap/.pcapng)、隐写图片/音频、Windows 事件日志(.evtx)时使用。覆盖 Volatility 内存分析、Wireshark 流量还原、binwalk 隐写提取、文件系统恢复等取证全链路

1,178 stars

tools

Updated Apr 22, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity ctf-forensics

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 22, 2026, 9:36 PM67.7s17 files scanned

SKILL.md

name:: ctf-forensics
description:: CTF 数字取证与信号分析技术。当挑战提供磁盘镜像(.dd/.E01)、内存 dump(.raw/.vmem)、网络抓包(.pcap/.pcapng)、隐写图片/音频、Windows 事件日志(.evtx)时使用。覆盖 Volatility 内存分析、Wireshark 流量还原、binwalk 隐写提取、文件系统恢复等取证全链路
tags:: ctf,forensics,取证,volatility,pcap,steganography,隐写,磁盘,内存,网络
category:: ctf

CTF 数字取证

深入参考

以下参考资料按需加载，根据识别出的具体方向选择对应文件：

磁盘/内存取证（Volatility/VM/VMDK/分区恢复/勒索软件） → references/disk-and-memory.md
磁盘恢复（LUKS/BTRFS/XFS/RAID5/反雕刻） → references/disk-recovery.md
Windows 取证（注册表/SAM/事件日志/WMI/Amcache） → references/windows.md
Linux/应用取证（Docker/Git/浏览器/KeePass） → references/linux-forensics.md
网络取证基础（tcpdump/TLS解密/SMB3/USB音频） → references/network.md
高级网络取证（时序编码/NTLMv2/TCP隐蔽通道/DNS隐写） → references/network-advanced.md
通用隐写术（PDF/SVG/PNG/文件叠加/终端图形） → references/steganography.md
图像隐写术（JPEG DQT/BMP位平面/F5检测/调色板） → references/stego-image.md
高级隐写术（FFT/DTMF/音频/视频帧/JPEG XL） → references/stego-advanced.md
高级隐写术2（视频帧累积/反转音频/多层PNG/EXIF链） → references/stego-advanced-2.md
高级磁盘取证（删除分区恢复/ZFS/LVM Thin/APFS快照） → references/disk-advanced.md
外设捕获分析（USB HID鼠标绘图/键盘捕获解码/蓝牙） → references/peripheral-capture.md
硬件信号（VGA/HDMI/DisplayPort/功率侧信道/键盘声学） → references/signals-and-hardware.md
3D 打印取证（PrusaSlicer/G-code/QOIF） → references/3d-printing.md

分类决策树

拿到取证题？
├─ 文件分析
│  ├─ file/exiftool/binwalk → 识别格式与嵌入文件
│  ├─ 图片 → steghide/zsteg/stegsolve → [references/stego-image.md](references/stego-image.md)
│  ├─ 音频 → 频谱图/DTMF/SSTV → [references/stego-advanced.md](references/stego-advanced.md)
│  └─ PDF → 元数据/隐藏文本/多层 → [references/steganography.md](references/steganography.md)
├─ 磁盘/内存镜像
│  ├─ .dd/.img → mount -o loop,ro → fls/photorec
│  ├─ .ova/.vmdk → tar xf → 7z 提取
│  ├─ 内存 → Volatility3 (pslist/filescan/dumpfiles)
│  └─ RAID/ZFS/BTRFS → [references/disk-recovery.md](references/disk-recovery.md)
├─ 网络流量 (.pcap)
│  ├─ HTTP → tshark --export-objects
│  ├─ TLS → SSLKEYLOGFILE / 弱RSA密钥
│  ├─ SMB → 密钥解密 / NTLMv2 提取
│  └─ DNS → 隐蔽通道 / 尾字节编码
├─ Windows 事件日志 → [references/windows.md](references/windows.md)
├─ 硬件信号 → [references/signals-and-hardware.md](references/signals-and-hardware.md)
└─ 区块链 → mempool.space API / 剥离链追踪

快速启动命令

# 文件分析
file suspicious && exiftool suspicious && binwalk suspicious
strings -n 8 suspicious | grep -iE "flag|ctf"

# 磁盘取证
sudo mount -o loop,ro image.dd /mnt/evidence
fls -r image.dd && photorec image.dd

# 内存取证 (Volatility 3)
vol3 -f memory.dmp windows.pslist
vol3 -f memory.dmp windows.filescan
vol3 -f memory.dmp windows.dumpfiles --physaddr ADDR

# 网络流量
tshark -r capture.pcap -Y "http" --export-objects http,/tmp/out

隐写速查

Windows 关键事件 ID

| ID | 含义 | |----|------| | 1102 | 审计日志清除 | | 4720 | 用户创建 | | 4781 | 账户重命名 | | 21 (TSLocal) | RDP 登录成功 |

Windows 事件日志

EVTX 分析关注时间戳（TimeCreated / SystemTime）排序关键事件

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/ctf/ctf-forensics ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,178 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT