加密文件识别处理

加密文件识别

• 了解加密文件相关识别技术
• 掌握常见的加密文件并分析

一.加密文件题目类型

1.文件格式分析：通过分析文件的二进制格式或文件头文件，标签信息，推断出文件的类型和可能的加密方式，使用相关技术进行解密，寻找flag值

2.加密算法特征分析：文件加密和各种加密算法都有其独特的特征和属性。通过分析加密文件的特征，可以推测出使用的加密算法，从而得到隐藏的flag值。

3.字符频率分析：对于采用简单替换加密算法的加密文件，可以通过统计字符出现的频率分布与常见的字符频率分布进行对比，从而猜测出加密算法（在ctf比赛中不常见）。

总结思路：分析加密文件的特征和属性，尝试识别所使用的加密算法或编码方式，针对加密文件进行分析，以获取隐藏在加密文件中的有用信息。

文件头分析

二.例题

1.falg签到

找到flag.txt对应PK标记位，01奇数加密

把01改为偶数02保存，再打开txt即可得到flag了

010808第一位：奇数伪加密，偶数不加密

第二位：标准位置，不改变

第三位：文件结尾标识

2.flag2

把flag2.txt里的二进制内容转化成字符串

在HxD工具里新建文件保存后得到压缩包

压缩包解压后有两个加密的文件

修改伪加密部分，保存后正常查看flag2.txt得到flag

3.合并P

压缩包加密50 4B 03 04文件头

Ctrl＋f搜索PK，F3下一个位置

伪加密修改完后保存，得到三个文件，全部按顺序合并后复制找到解码方式

base64转图片，得到jpg，从而得到flag

4.over

解题思路：分析文件格式（3ID-ID3），修改正确文件头49 44 33。保存文件后修改文件拓展名.mp3得到新文件。

mp3时间条为1分钟，但播放不全，要提取出不属于音频里的数据。

binwalk查看到文件里存在两张图片，foremost分离文件得到图片

猜测是图片里的flag信息为base64编码，解密后知道照片上的flag即为正确flag

5.FREE

开头FREE音频文件，结尾PK压缩包不匹配，修改文件头为50 4B 03 04

解压得到有密码的flag，发现不存在伪加密，暴力破解得到密码769553

打开文件，结合开头有电脑的配置信息和结尾猜测是流量分析数据包，修改文件拓展名.pcap

用wireshark分析找到text，追踪http流

搜索flag，找到跟flag相近的内容

%7B %7D表示{}，得到flag