文件类型识别
1.File命令
当文件没有后缀名或有后缀名而无法正常打开时,根据识别出的文件类型来修改后缀名即可正常打开。
使用场景:不知道后缀名,无法打开文件
格式:filemyheart
2.winhex
通过winhex程序中可以查看文件头类型,根据文件头类型判断出文件类型
使用场景:windows下通过文件头信息判断文件类型
3.用notepad++打开,用插件打开,第一行就是文件头,进行对比
3.文件头残缺/错误
文件无法正常打开有两种情况,一种时文件头部残缺,另一种是文件头部字段错误,针对文件头部残缺的情况,使用winhex程序添加相应的文件头,针对头部字段错误,可以找一个相同类型的文件进行替换。
应用场景:文件头部残缺或文件头部字段错误无法打开正常文件。
格式:file文件名
文件分离操作
1.Binwalk’工具
Binwalk是linux下用来分析和分离文件的工具,可以快速分辨文件是否由多个文件合并而成,并将文件进行分离,如果分离成功会在目标文件的目录,同目录下生成一个形如_文件名_extracted的文件目录,目录中有分离后的文件。
用法:
分析文件:binwalk filename
分离文件:binwalk -e filename
2.foremost
如果binwalk无法正确分理出文件,可以使用foremost,将目标文件复制到kail中,成功执行后会在目标文件的文件目录下生成我们设置的目录,并会根据文件类型分理出文件。
用法:foremost 文件名 -o 输出目录名
3.** dd **
当文件自动分离出错或者因为其他原因无法自动分离时,可以使用dd实现文件手动分离。
格式:
dd if=源文件 of=目标文件名 bs=1 skip=开始分离的字节数
5.
文件合并操作
1.Linux下的文件合并
使用场景:linux下,通常对文件名相似的文件要进行批量合并
格式:cat合并的文件>输出的文件
2.windows下的文件合并
文件内容隐写
1.Firework
使用winhex打开文件时会看到文件头部中包含firework的标识,通过firework可以找到隐藏图片
使用场景:查看隐写的图片文件
三、压缩文件处理
密钥有可能是flag
四、流量取证技术
flag可能藏在追踪流中
土脚本