东莞网站高端建设,网站升级改版需要几天,wordpress 图片切换插件,外管局网站先支后收怎么做报告misc的四大部分#xff1a;
文件操作与隐写图片隐写术压缩文件处理流量取证技术
文件操作与隐写
文件类型识别 File命令 当文件没有后缀名或者有后缀名而无法打开时#xff0c;根据识别出的文件类型来修改后缀名即可正常打开文件。 使用场景#xff1a;不知道后缀名…misc的四大部分
文件操作与隐写图片隐写术压缩文件处理流量取证技术
文件操作与隐写
文件类型识别 File命令 当文件没有后缀名或者有后缀名而无法打开时根据识别出的文件类型来修改后缀名即可正常打开文件。 使用场景不知道后缀名无法打开文件 Linux环境下命令格式file文件名 winhex 通过winhex程序中可以查看文件头类型根据头类型判断文件类型 使用场景windows下通过文件头信息判断文件类型
常见的文件头类型如下
文件类型文件头JPEG(jpg)FFD8FFE1PNG(png)89504E47GIF(gif)47494638TIFF(tiff)49492A00Windows Bitmap(bmp)424DC001ZIP Archive(ZIP)504B0304RAR Archive(rar)52617221Adobe Photshop(psd)38425053Rich Text Format(rtf)7B5C727466XML(xml)3C3F786D6CHTML(html)68746D6C3EAdobe Acrobat(pdf)255044462D312EWave(wav)57415645pacp4D3C2B1A 文件头残缺/错误 通常文件无法正常打开有两种情况一种文件头部残缺另一种头部字段错误。针对文件头部残缺的情况使用winhex程序添加相应的文件头针对头部字段错误可以找一个相同类型的文件进行替换。 使用场景文件头部残缺或文件头部字段错误无法打开正常文件 格式file 文件名
文件分离操作 Binwalk工具 Binwalk工具是Linux下用来分析和分离文件的工具可以快速分辨文件是否由多个文件合并而成并将文件进行分离。如果分离成功会在目标文件的目录。 同目录下生成一个形如_文件名_extracted的文件目录目录中有分离后的文件。 用法 分析文件binwalk filename 分离文件binwalk -e filename 注binwalk遇到压缩包会自动解压。 formost 如果binwalk无法正确分离文件可以使用foremost将目标文件复制到kali中成功执行后会在目标文件的文件目录下生成我们设置的目录目录中会按文件类型分离出文件。 用法 foremost 文件名 -o 输出目录名 dd 当文件自动分离出错或者因为其他原因无法自动分离时可以使用dd实现文件手动分离。 格式dd if源文件 of目标文件名 bs1 skip开始分离的字节数 参数说明 iffile #输入文件名缺省为标准输入 offile #输出文件名缺省为标准输出 bsbytes #同时设置读写块的大小为bytes可代替ibs和obs skipblocks #从输入文件开头跳过blocks个块后再开始复制 Winhex 除了使用dd外还可以使用winhex实现文件手动分离将目标文件拖入问winhex中找到要分离的部分点击复制即可。 使用场景Windows下利用winhex程序对文件进行手动分离 010Editor 将某块区域文件保存的方式如下 010Editor打开文件 - 选中右键 - Selection - Save Selection 将16进制字符文件导入保存操作方法如下 将16进制字符文件保存在一个文件打开010Editor import Hex另存为一个文件后缀名以010Editor获取到它本身文件信息而定
文件合并操作 Linux下的文件合并 使用场景Linux下通常对文件名相似的文件要进行批量合并 格式cat 合并的文件 输出的文件 完整性检测Linux下计算文件md5 md5sum 文件名 Windows下的文件合并 使用场景Windows下通常要对文件 名相似的文件进行批量合并 格式copy /B 合并的文件 输出的文件命令 完整性检测Windows下计算文件md5 certutil -hashfiel 文件名 md5
文件内容隐写
文件内容隐写就是直接将KEY以十六进制的形式写在文件中通常在文件的开头或结尾部分分析时通常重点观察文件开头和结尾部分。如果在文件中间部分通常搜索关键字KEY或者flag来查找隐藏内容。
使用场景Windows下搜索隐写的文件内容 winhex/010Editor 通常将识别的文件拖入winhex中查找具有关键字或明显与文件不和谐的部分通常优先观察文件首部和尾部搜索flag或key等关键字最后拖动滚轮寻找。 Notepad 使用Notepad打开文件查看文件头尾是否有含有关键字的字符串搜索flag或key等关键字最后拖动滚轮寻找。 另外通过安装插件HEX-Editor可以实现winhex的功能
图片隐写术
图片隐写的常见隐写方法
细微的颜色差别GIF图多帧隐藏 颜色通道隐藏不同帧图信息隐藏不同帧对比隐写 Exif信息隐藏图片修复 图片头修复图片尾修复CRC校验修复长、宽、高度修复 最低有效位LSB隐写图片加密 StedetectoutguessF5
图片文件隐写 Firework 使用winhex打开文件时会看到文件头部中包含firework的标识通过firework可以找到隐藏图片。 使用场景查看隐写的图片文件 Exif Exif按照JPEG的规格在JPEG中插入一些图像/数字相机的信息数据以及缩略图像可以通过与JPEG兼容的互联浏览器/图片浏览器/图片处理等一些软件来查看Exif格式的图片文件就跟浏览器通常JPEG图像文件一样。 图片右键属性查看Exif或查看详细信息在相关选项卡中看找flag信息。 如果是Linux环境下可以用exiftool工具命令exiftool 文件名带后缀名 Stegsolve 当两张图片外观、大小、像素都基本相同时可以考虑进行结合分析即将两个文件的像素RGB值进行XOR、ADD、SUB等操作看能否得到有用的信息Stegsolve可以方便地进行这些操作。 使用场景两张图片信息基本相同 打开第一张图片点击analyse - Image combiner在弹出的窗口中点击左右按钮选择处理方式点击save保存有价值的结果 LSB最低有效位Least Significant Bit) LSB替换隐写基本思想是用嵌入的秘密信息取代载体图像的最低特位原来的7个高位平面与替代秘密信息的最低位平面组合成含有隐藏信息的新图形。 像素三原色RGB 通过修改像素中最低位的1bit来达到隐藏的效果 工具stegsolve、zsteg、wbstego4、python脚本 Stegsolve.jar工具 打开文件 - Analyse - Data Extract调整Bit PlansBits OrderBit Plane Order zsteg工具 检测LSB隐写 命令zsteg xxx.png wbstego4工具 解密通过1sb加密的图片 python脚本来处理 将目标文件放在以下脚本目录下将脚本中的文件名修改为你的目标文件名运行python脚本即可 注要在python2的环境运行。 #coding:utf-8
import PIL.Image
def foo():im PIL.Image.open(01.bmp) #将01.bmp修改为你的目标文件名 im2 im.copy()pix im2.load()width,height im2.sizefor x in xrange(0,width):for y in xrange(0,height):if pix[x.y]0x1 0:pix[x,y] 0else:pix[x,y] 255im2.show()pass
if __name____main__:foo()print ok.passTweakPNG TweakPNG是一款简单易用的PNG图像浏览工具它允许查看和修改一些PNG图像文件的元信息存储。 使用场景文件头正常却无法打开文件利用TweakPNG修CRC 例 当PNG文件头正常但无法打开文件可能是CRC校验出错可以尝试通过TweakPNG打开PNG会弹出校验错误的提示这里显示CRC是fe1a5ab6正确的是b0a7a9f1。打开winhex搜索fe1a5ab6将其改为b0a7a9f1 有时CRC没有错误但是图片的高度或者宽度发生了错误需要通过CRC计算出正确的高度或者宽度。 #cooding:utf-8
import binascii
import struct
crcbp open(xxx.png,rb).read() # 此处将xxx.png改成你的目标文件名
for i in range(1024):for j in range(1024):data crcbp[12:16]struct.pack(i,i)struct.pack(i,j)crcbp[24:29]crc32 binascii.crc32(data)0xffffffffif crc32 0x08ec7edb: # 此处填上CRC值print i,jprint hex.hex(i),hex(j)Bftools bftools用于解密图片信息 使用场景在Windows的cmd下对加密过的图片文件进行解密 格式Bftools.exe decode braincopter 要解密的图片名称 -output 输出文件名 Bftools.exe run 上一步输出的文件 SilentEye silenteye是一款可以将文字或者文件隐藏到图片的解密工具。 使用场景Windows下打开silentEye工具对加密的图片进行解密 例 使用silentEye程序打开目标图片点击image - decode点击decode可以查看隐藏文件点击保存即可 JPG图像加密 Stegdetect工具探测加密方式 Stegdetect程序主要用于分析JPEG文件。因此用Stegdetect可以检测到通过JSteg、JPHide、OutGuess、Invisble Secrets、F5、appendx和Camoutflage等这些隐写工具隐藏的信息。 Linux环境下命令 stegdetect xxx,jpg stegdetect -s 敏感度 xxx.jpgexi Jphide Jphide是基于最低有效位LSB的JPEG格式图像隐写算法。 例 Stegdetect提示jphide加密时可以用Jphs工具进行解密打开jphswin.exe使用open jpeg打开图片点击seek输入密码和确认密码在弹出文件框中选择要保存的解密文件位置即可结果保存成txt文件。 Outguess Outguess一般用于解密文件信息 使用场景Stegdetect识别出来或者题目提示时outguess加密的图片 格式outguess -r 要解密的文件名输出结果文件名 F5 F5一般用于解密文件信息 使用场景Stegdetect识别出来是F5加密的图片或题目提示是F5加密的图片 进入F5-steganography_F5目录将图片文件拷贝至该目录下从CMD进入该目录 格式Java Exrtact 要解密的文件名 -p 密码 二维码处理 使用二维码扫描工具CQR.exe打开图片找到内容字段如果二维码某个定位角被覆盖了该工具有时候也可以自动识别如果识别失败需要使用PS或画图工具将另外几个角的定位符移动到相应的位置补全二维码。如果某个二维码的定位点中间是白色可能被反色了使用画图工具把颜色反色回来再扫描即可。# misc的基本解题思路(一)
misc的四大部分
文件操作与隐写图片隐写术压缩文件处理流量取证技术
文件操作与隐写
文件类型识别 File命令 当文件没有后缀名或者有后缀名而无法打开时根据识别出的文件类型来修改后缀名即可正常打开文件。 使用场景不知道后缀名无法打开文件 Linux环境下命令格式file文件名 winhex 通过winhex程序中可以查看文件头类型根据头类型判断文件类型 使用场景windows下通过文件头信息判断文件类型
常见的文件头类型如下
文件类型文件头JPEG(jpg)FFD8FFE1PNG(png)89504E47GIF(gif)47494638TIFF(tiff)49492A00Windows Bitmap(bmp)424DC001ZIP Archive(ZIP)504B0304RAR Archive(rar)52617221Adobe Photshop(psd)38425053Rich Text Format(rtf)7B5C727466XML(xml)3C3F786D6CHTML(html)68746D6C3EAdobe Acrobat(pdf)255044462D312EWave(wav)57415645pacp4D3C2B1A 文件头残缺/错误 通常文件无法正常打开有两种情况一种文件头部残缺另一种头部字段错误。针对文件头部残缺的情况使用winhex程序添加相应的文件头针对头部字段错误可以找一个相同类型的文件进行替换。 使用场景文件头部残缺或文件头部字段错误无法打开正常文件 格式file 文件名
文件分离操作 Binwalk工具 Binwalk工具是Linux下用来分析和分离文件的工具可以快速分辨文件是否由多个文件合并而成并将文件进行分离。如果分离成功会在目标文件的目录。 同目录下生成一个形如_文件名_extracted的文件目录目录中有分离后的文件。 用法 分析文件binwalk filename 分离文件binwalk -e filename 注binwalk遇到压缩包会自动解压。 formost 如果binwalk无法正确分离文件可以使用foremost将目标文件复制到kali中成功执行后会在目标文件的文件目录下生成我们设置的目录目录中会按文件类型分离出文件。 用法 foremost 文件名 -o 输出目录名 dd 当文件自动分离出错或者因为其他原因无法自动分离时可以使用dd实现文件手动分离。 格式dd if源文件 of目标文件名 bs1 skip开始分离的字节数 参数说明 iffile #输入文件名缺省为标准输入 offile #输出文件名缺省为标准输出 bsbytes #同时设置读写块的大小为bytes可代替ibs和obs skipblocks #从输入文件开头跳过blocks个块后再开始复制 Winhex 除了使用dd外还可以使用winhex实现文件手动分离将目标文件拖入问winhex中找到要分离的部分点击复制即可。 使用场景Windows下利用winhex程序对文件进行手动分离 010Editor 将某块区域文件保存的方式如下 010Editor打开文件 - 选中右键 - Selection - Save Selection 将16进制字符文件导入保存操作方法如下 将16进制字符文件保存在一个文件打开010Editor import Hex另存为一个文件后缀名以010Editor获取到它本身文件信息而定
文件合并操作 Linux下的文件合并 使用场景Linux下通常对文件名相似的文件要进行批量合并 格式cat 合并的文件 输出的文件 完整性检测Linux下计算文件md5 md5sum 文件名 Windows下的文件合并 使用场景Windows下通常要对文件 名相似的文件进行批量合并 格式copy /B 合并的文件 输出的文件命令 完整性检测Windows下计算文件md5 certutil -hashfiel 文件名 md5
文件内容隐写
文件内容隐写就是直接将KEY以十六进制的形式写在文件中通常在文件的开头或结尾部分分析时通常重点观察文件开头和结尾部分。如果在文件中间部分通常搜索关键字KEY或者flag来查找隐藏内容。
使用场景Windows下搜索隐写的文件内容 winhex/010Editor 通常将识别的文件拖入winhex中查找具有关键字或明显与文件不和谐的部分通常优先观察文件首部和尾部搜索flag或key等关键字最后拖动滚轮寻找。 Notepad 使用Notepad打开文件查看文件头尾是否有含有关键字的字符串搜索flag或key等关键字最后拖动滚轮寻找。 另外通过安装插件HEX-Editor可以实现winhex的功能
图片隐写术
图片隐写的常见隐写方法
细微的颜色差别GIF图多帧隐藏 颜色通道隐藏不同帧图信息隐藏不同帧对比隐写 Exif信息隐藏图片修复 图片头修复图片尾修复CRC校验修复长、宽、高度修复 最低有效位LSB隐写图片加密 StedetectoutguessF5
图片文件隐写 Firework 使用winhex打开文件时会看到文件头部中包含firework的标识通过firework可以找到隐藏图片。 使用场景查看隐写的图片文件 Exif Exif按照JPEG的规格在JPEG中插入一些图像/数字相机的信息数据以及缩略图像可以通过与JPEG兼容的互联浏览器/图片浏览器/图片处理等一些软件来查看Exif格式的图片文件就跟浏览器通常JPEG图像文件一样。 图片右键属性查看Exif或查看详细信息在相关选项卡中看找flag信息。 如果是Linux环境下可以用exiftool工具命令exiftool 文件名带后缀名 Stegsolve 当两张图片外观、大小、像素都基本相同时可以考虑进行结合分析即将两个文件的像素RGB值进行XOR、ADD、SUB等操作看能否得到有用的信息Stegsolve可以方便地进行这些操作。 使用场景两张图片信息基本相同 打开第一张图片点击analyse - Image combiner在弹出的窗口中点击左右按钮选择处理方式点击save保存有价值的结果 LSB最低有效位Least Significant Bit) LSB替换隐写基本思想是用嵌入的秘密信息取代载体图像的最低特位原来的7个高位平面与替代秘密信息的最低位平面组合成含有隐藏信息的新图形。 像素三原色RGB 通过修改像素中最低位的1bit来达到隐藏的效果 工具stegsolve、zsteg、wbstego4、python脚本 Stegsolve.jar工具 打开文件 - Analyse - Data Extract调整Bit PlansBits OrderBit Plane Order zsteg工具 检测LSB隐写 命令zsteg xxx.png wbstego4工具 解密通过1sb加密的图片 python脚本来处理 将目标文件放在以下脚本目录下将脚本中的文件名修改为你的目标文件名运行python脚本即可 注要在python2的环境运行。 #coding:utf-8
import PIL.Image
def foo():im PIL.Image.open(01.bmp) #将01.bmp修改为你的目标文件名 im2 im.copy()pix im2.load()width,height im2.sizefor x in xrange(0,width):for y in xrange(0,height):if pix[x.y]0x1 0:pix[x,y] 0else:pix[x,y] 255im2.show()pass
if __name____main__:foo()print ok.passTweakPNG TweakPNG是一款简单易用的PNG图像浏览工具它允许查看和修改一些PNG图像文件的元信息存储。 使用场景文件头正常却无法打开文件利用TweakPNG修CRC 例 当PNG文件头正常但无法打开文件可能是CRC校验出错可以尝试通过TweakPNG打开PNG会弹出校验错误的提示这里显示CRC是fe1a5ab6正确的是b0a7a9f1。打开winhex搜索fe1a5ab6将其改为b0a7a9f1 有时CRC没有错误但是图片的高度或者宽度发生了错误需要通过CRC计算出正确的高度或者宽度。 #cooding:utf-8
import binascii
import struct
crcbp open(xxx.png,rb).read() # 此处将xxx.png改成你的目标文件名
for i in range(1024):for j in range(1024):data crcbp[12:16]struct.pack(i,i)struct.pack(i,j)crcbp[24:29]crc32 binascii.crc32(data)0xffffffffif crc32 0x08ec7edb: # 此处填上CRC值print i,jprint hex.hex(i),hex(j)Bftools bftools用于解密图片信息 使用场景在Windows的cmd下对加密过的图片文件进行解密 格式Bftools.exe decode braincopter 要解密的图片名称 -output 输出文件名 Bftools.exe run 上一步输出的文件 SilentEye silenteye是一款可以将文字或者文件隐藏到图片的解密工具。 使用场景Windows下打开silentEye工具对加密的图片进行解密 例 使用silentEye程序打开目标图片点击image - decode点击decode可以查看隐藏文件点击保存即可 JPG图像加密 Stegdetect工具探测加密方式 Stegdetect程序主要用于分析JPEG文件。因此用Stegdetect可以检测到通过JSteg、JPHide、OutGuess、Invisble Secrets、F5、appendx和Camoutflage等这些隐写工具隐藏的信息。 Linux环境下命令 stegdetect xxx,jpg stegdetect -s 敏感度 xxx.jpgexi Jphide Jphide是基于最低有效位LSB的JPEG格式图像隐写算法。 例 Stegdetect提示jphide加密时可以用Jphs工具进行解密打开jphswin.exe使用open jpeg打开图片点击seek输入密码和确认密码在弹出文件框中选择要保存的解密文件位置即可结果保存成txt文件。 Outguess Outguess一般用于解密文件信息 使用场景Stegdetect识别出来或者题目提示时outguess加密的图片 格式outguess -r 要解密的文件名输出结果文件名 F5 F5一般用于解密文件信息 使用场景Stegdetect识别出来是F5加密的图片或题目提示是F5加密的图片 进入F5-steganography_F5目录将图片文件拷贝至该目录下从CMD进入该目录 格式Java Exrtact 要解密的文件名 -p 密码 二维码处理 使用二维码扫描工具CQR.exe打开图片找到内容字段如果二维码某个定位角被覆盖了该工具有时候也可以自动识别如果识别失败需要使用PS或画图工具将另外几个角的定位符移动到相应的位置补全二维码。如果某个二维码的定位点中间是白色可能被反色了使用画图工具把颜色反色回来再扫描即可。
