浅析杂项（仅作纳新使用）

浅析杂项

大部分仅给出知识点及相关解密工具，具体的需要自己去了解，杂项都很有意思，推荐直接边做题边学。

图片隐写

• 信息隐藏在图片中，可以将图片拉入notepad++中，观察处理处理notepad++中的信息。

• 盲水印，解密脚本

• 将图片丢进winhex中(可用来检查、修复文件；也可以看到其他程序隐藏起来的文件和数据)观察文件头是否被修改，下面附上常见的文件头网址
  文件头网址。jpg的结束符:FF D9

• binwalk查看文件的组成，分离文件。

• PNG文件修改高度

• 最低有效位隐写，用stegsolve解密（如果是8位BMP用画图打开另存为png再用stegsolve解密）

下面附上分离文件的几种办法：

1）使用dd命令分离(linux/unix下)

例如：# dd if=carter.jpg of=carter-1.jpg skip=140147 bs==1

2）使用foremost工具分离

Linux安装命令：# apt-get install foremost

最简单的分离命令：foremost xxxx.jpg

3）hex编辑器分析文件（通常使用winhex/101editor）

补充：jpg格式文件开始的2字节是图像开始SOI(Start of Image,SOI)为FF D8，之后2个字节是JFIF应用数据块APPO(JFIF application segment)为FF E0 ，最后2个字节是图像文件结束标记EOI(end-of-file)为FF D9
Alt+1快捷键选取FF为开始的块，Alt+2选取D9为结束块，然后右键->Edit->Copy Block->Into New File保存相应的文件后缀

注：遇到.png里面有.zlib时，进行解压的方式：（python代码）

1.
from zlib import *

data = open('task-ctf_06_tgF28nL.png', 'rb').read()[0x97E4:]
print data
data = decompress(data)
print data

2.

import zlib
import binascii
import base64
id=''

result =binascii.unhexlify(id)

print result
result = zlib.decompress(result)
print result

3.

import zlib
import binascii

IDAT = "".decode( 'hex')
print IDAT
result = zlib.decompress(IDAT)
print result

• 遇到加密情况时候使用Linux的crunch创建字典进行爆破。

• 尝试将图片文件后缀改成.zip的压缩格式。

• 图片不完全的情况下，通过搜图引擎查找。

• exif隐藏的隐写：通过属性观察得到flag

音频隐写

• 音频文件用音频工具Audacity打开，分析音频。查看频谱图。

• 将音频谱对应写出摩斯电吗，然后进行解密。

• 慢扫描信号 工具MMSSTV

• 电话拨号音

• MP3文件MP3Stego分解出txt文件。

• 特殊情况：使用Silenteye SilentEye是一个跨平台的应用程序设计，可以轻松地使用隐写术，在这种情况下，可以将消息隐藏到图片或声音中。它提供了一个很好的界面，并通过使用插件系统轻松集成了新的隐写算法和加密过程。

文本隐写

• SNOW加密
• Base64隐写
• 与佛论禅加密 解密网站
• 字母频率（按照字母出现的频率高低进行排序，得到flag） 解密用python中的collections.Counter()
• base16/32/64/85 用CaptfEncoder和相关网站解密
• rot13/18/47
• 栅栏密码
• 凯撒密码
• 键盘密码
• 猪圈密码(大多在图片中出现)
• 摩斯密码
• 进制转换
• jsfuck
• brainfuck/ook

压缩包类

• 暴力破解 工具ARCHPR
• 明文攻击 ARCHPR
• zip伪加密 winrar修复压缩包(不一定管用)或者16进制编辑器修改文件

其他

• NTFS数据流 windows中用dir /r命令查看
• Word隐藏文字 设置word显示隐藏字符
• 二维码修复/残缺二维码信息读取 QrazyBox
• 流量分析 Wireshark/tshark
• 内存/磁盘取证 取证大师/volatility

工具使用

1.WireShark使用（流量分析win版）
https://blog.csdn.net/sinat_32176267/article/details/78297361
2.tshark使用（流量分析Linux版）
https://www.cnblogs.com/liun1994/p/6142505.html
3.stegsolve使用（图片隐写查看）
https://blog.csdn.net/dyw_666666/article/details/88650738
4.QR research（二维码识别）
https://blog.csdn.net/parasoft/article/details/82501520
5.MP3Stego使用（MP3隐写）
https://blog.csdn.net/myloveprogrmming/article/details/52641916
6.利用AU分离声道进而获得一段摩尔斯电码音频：看波的宽度分辨长短音
比较细的就是短音，代表"."
比较粗的就是长音，代表"-"
中间的间隔就是" "
7.压缩包密码暴力破解archprC
8.logic使用（逻辑分析仪使用）
https://blog.csdn.net/wofreeo/article/details/80945582

同时附上隐写术参考网址：

https://www.cnblogs.com/jiaxinguoguo/p/7351202.html

zlib的解压
https://blog.csdn.net/qq_40574571/article/details/80164981?tdsourcetag=s_pcqq_aiomsg

练习平台

在这里推送几个练习平台，请务必练习，如有不会的题可以在网上搜索其题解（WP）
南邮CTF：
https://cgctf.nuptsast.com/login
实验吧：
http://www.shiyanbar.com/ctf/
Bugku：
https://ctf.bugku.com/
Xctf：
https://adworld.xctf.org.cn/

其他说明

因仅作纳新使用，暂不对较有深度的类型做出说明，见谅。以上整理来源于QUST-SEC团队成员