图像隐写——misc

LSB的关键：细微的颜色差别（像素三原色RGB）

工具：stegsolve

需要先配置java环境，在此按下不表

File Format：图片的具体信息，有时flag会隐藏在这里

Data Extract：数据提取

Steregram Solve:图片偏移

Frame Browser:帧分解

Image Combiner:拼图

Data Extract：数据提取

RGBA：各级颜色通道（红，绿，蓝，透明度）

Bit Order（位顺序）:MSB是一串数据的最高位，LSB是一串数据的最低位。

Bit Plane Order（位平面的顺序)： 整个图像分解为8个位平面，从LSB(最低有效位0)到MSB（最高有效位7）随着从位平面0 到位平面7，位平面图像的特征逐渐变得复杂，细节不断增加。

颜色的区分

LSB隐写

由于人眼对于颜色的细微差别无法分辨（一般来说），所以可以通过更改图片中部分像素的最低位来实现信息的隐写。
解题方法：将RGB的最低级（0级）全部勾选即可
若隐藏内容为文件，以相应的文件格式保存即可。

Eg：LSB 攻防世界 简单的图片

zsteg

zsteg可以检测PNG和BMP图片里的隐写数据。

zsteg -a (文件名)    #查看各个通道的lsb
#-b的位数是从1开始的
zsteg zlib.bmp -b 1 -o xy -v  #检测zlib
zsteg -e b8,a,lsb,xy 文件.png -> out.png
# 显示细节
zsteg pcat.png -v
#尝试所有已知的组合
zsteg pcat.png -a
#一把梭哈
zsteg x.png --all

GIF图多帧隐藏工具：stegsolve、Photoshop、firework

(1)颜色通道隐藏

(2)不同帧图信息隐藏

(3)不同帧对比隐藏

主要利用Photoshop，正片叠底等各种调节

图片修复 工具 winhex

(1)图片头修复

JPEG
文件头：FF D8 FF　　　　　
文件尾：FF D9
​
TGA
未压缩的前4字节 00 00 02 00
RLE压缩的前5字节 00 00 10 00 00
​
PNG
文件头：89 50 4E 47 0D 0A 1A 0A　　　　
文件尾：AE 42 60 82
​
GIF
文件头：47 49 46 38 39(37) 61　　　　
文件尾：00 3B
​
BMP
文件头：42 4D
文件头标识(2 bytes) 42(B) 4D(M)
​
TIFF (tif)
文件头：49 49 2A 00
​
ico
文件头：00 00 01 00
​
Adobe Photoshop (psd)
文件头：38 42 50 53

(3)CRC校验修复

tweakpng

文件头正常却无法打开文件，利用tweakpng修改crc

操作：用该工具打开有问题的png图片，会提示错误的crc字符串以及正确的crc字符串，然后用16进制编辑器winhex打开搜索错误的crc字符串，然后用正确的替换。

特殊情况：有时候crc没有错误，但是图片的宽度或者高度发生错误，需要通过用python脚本利用crc计算出正确的高度宽度

(4)长、宽、高度修复

比较复杂的图片隐写

picture --攻防世界 - OrangeCatCat - 博客园 (cnblogs.com)

音频隐写

MP3 隐写，LSB 隐写，波形隐写，频谱隐写

MP3隐写

类似于图片隐写中的 LSB 隐写，音频中也有对应的 LSB 隐写。主要可以使用 Silenteye 工具

来自银河的信号

这个题很怀念，给了当年的我一点小小的CTF震撼

使用sstv程序进行信息读取即可

慢扫描电视（Slow-scan television）是业余无线电爱好者的一种主要图片传输方法，慢扫描电视通过无线电传输和接收单色或彩色静态图片。

来首歌吧

莫斯电码解题，打开音频后手动敲码即可，在线网站进行转化。

tips 关于zip加密

一 找线索

伪加密的特征： 压缩源文件数据区的全局方式位标记应当为 0000 （504B 03 04 14 00 后） 且压缩源文件目录区的全局方式位标记应当为 0900 （504B 01 02 14 00 后）

1压缩源文件数据区：
        50 4B 03 04：这是头文件标记         
        14 00：解压文件所需pkware 版本         
        00 00：全局方式位标记（判断有无加密）         
        08 00：压缩方式         
        50 A3：最后修改文件时间         
        A5 4A：最后修改文件日期
2压缩源文件目录区：   
        50 4B 01 02：目录中文件文件头标记        
       1F 00：压缩使用的pkware 版本        
       14 00：解压文件所需pkware 版本        
        00 00：全局方式位标记（判断是否为伪加密）        
        08 00：压缩方式         
       50A3：最后修改文件时间         
        A54A：最后修改文件日期
3压缩源文件目录结束标志：        
        50 4B 05 06：目录结束标记        
        00 00：当前磁盘编号        
        00 00：目录区开始磁盘编号        
        01 00：本磁盘上纪录总数        
        01 00：目录区中纪录总数      
        5A 00 00 00：目录区尺寸大小        
        3F 00 00 00：目录区对第一张磁盘的偏移量        
        00 00：ZIP文件注释长度