加密文件识别
- 了解加密文件相关识别技术
- 掌握常见的加密文件并分析
一.加密文件题目类型
1.文件格式分析:通过分析文件的二进制格式或文件头文件,标签信息,推断出文件的类型和可能的加密方式,使用相关技术进行解密,寻找flag值
2.加密算法特征分析:文件加密和各种加密算法都有其独特的特征和属性。通过分析加密文件的特征,可以推测出使用的加密算法,从而得到隐藏的flag值。
3.字符频率分析:对于采用简单替换加密算法的加密文件,可以通过统计字符出现的频率分布与常见的字符频率分布进行对比,从而猜测出加密算法(在ctf比赛中不常见)。
总结思路:分析加密文件的特征和属性,尝试识别所使用的加密算法或编码方式,针对加密文件进行分析,以获取隐藏在加密文件中的有用信息。
文件头分析
二.例题
1.falg签到
找到flag.txt对应PK标记位,01奇数加密
把01改为偶数02保存,再打开txt即可得到flag了
010808第一位:奇数伪加密,偶数不加密
第二位:标准位置,不改变
第三位:文件结尾标识
2.flag2
把flag2.txt里的二进制内容转化成字符串
在HxD工具里新建文件保存后得到压缩包
压缩包解压后有两个加密的文件
修改伪加密部分,保存后正常查看flag2.txt得到flag
3.合并P
压缩包加密50 4B 03 04文件头
Ctrl+f搜索PK,F3下一个位置
伪加密修改完后保存,得到三个文件,全部按顺序合并后复制找到解码方式
base64转图片,得到jpg,从而得到flag
4.over
解题思路:分析文件格式(3ID-ID3),修改正确文件头49 44 33。保存文件后修改文件拓展名.mp3得到新文件。
mp3时间条为1分钟,但播放不全,要提取出不属于音频里的数据。
binwalk查看到文件里存在两张图片,foremost分离文件得到图片
猜测是图片里的flag信息为base64编码,解密后知道照片上的flag即为正确flag
5.FREE
开头FREE音频文件,结尾PK压缩包不匹配,修改文件头为50 4B 03 04
解压得到有密码的flag,发现不存在伪加密,暴力破解得到密码769553
打开文件,结合开头有电脑的配置信息和结尾猜测是流量分析数据包,修改文件拓展名.pcap
用wireshark分析找到text,追踪http流
搜索flag,找到跟flag相近的内容
%7B %7D表示{},得到flag