m0_68483928的博客

然后我们可以发现这个jpg文件格式错误，咱们打不开这个文件，所以我们继续到Windows中使用winhex查看文件结构。（小声：这里文件出问题了，格式错误。所以这里我们直接使用别人的脚本）我们在最后发现了一个KP 文件结构中PK是zip压缩包的头部。我们在最后发现一个=号，猜测是base64编码，然后我们复制下来进行base64解密。然后我们发现压缩包需要密码，所以我们就使用在内存取证中拿到的password解密。然后使用filescan找到了一个jpg文件。乱成啥样了，我们姑且也先不管。

在Wireshark中，我们可能会捕获到上百万甚至更多的流量数据包。手动分析这些数据包几乎是不可能的，因此我们使用显示过滤器来精准定位关键数据包。显示过滤器能够帮助我们快速筛选出感兴趣的流量，从而更高效地进行分析。接下来，我将通过一些常用示例来演示Wireshark中显示过滤器的强大之处。

在蓝帽杯 2022 初赛中，domainhacker 的流量分析题目聚焦于中国蚁剑这款 webshell 管理工具的流量特征。通过对比赛提供的数据包进行解析，本文将深入分析蚁剑在连接木马时产生的加密流量。

Stegdetect 是一个开源工具，专门设计用于检测图像文件（JPG格式）中的隐写信息。Stegdetect 可以检测多种常见的隐写方法，比如 JSteg、JPHide 和 OutGuess 等。