本文介绍了文件合并、校验及隐写术。在Linux下使用cat命令可能存在顺序问题,Windows下可使用copy命令。Notepad++作为增强版记事本支持搜索关键字,而Winhex和010Editor用于16进制编辑。图像文件中可能隐藏信息,如文件属性、GPS坐标,可用Stegsolve和zteg工具进行检测。流量取证中,Wireshark是必备工具,通过HTTP数据包可能发现flag。
文件合并
把一个文件砍碎给你,会给你md5,验证文件组装顺序是否正确
linux命令cat,文件合并,文件先后顺序可能不一定
windows下命令copy
文件头残缺型
文件内容隐写
notepad++
用来代替记事本,其功能有搜索关键字
winhex和010editor为16进制编译器
图片文件隐写
用到python脚本计算高度和宽度,然后再010里去修改,原图片会多出来flag
图像类型的题,flag可能就在文件属性中的信息里,比如名字等,
从图像里的属性中的GPS,用Google Earth,输入经纬度,可以确定位置。
工具Stegsolve(java),:给两张基本相同的图片,对两张图片进行运算,有顺序问题。/最低有效位LSB:analyse下的extract preview /打开图片,直接按“>”,查看颜色通道
zteg工具(linux下的):图片文件隐写
wbstego4工具:只能处理png。图片类型转换用————“画图软件”
软件firework, (绿化后使用),可以看gif的每一帧,
文件如果用notepad’++打开时乱码,则用010edit打开看
出题人改了一些,导致工具无法使用,则用python脚本
压缩文件处理
伪加密:解压软件可以直接识别修复
如果是真加密的,一般会告诉你几位密码
压缩文件有时候只是一个它真正想出题的载体
暴力破解工具ARCHPR
ARCHPR:软件打开:攻击类型常考:明文/暴力。(密码复杂的话,软件运行时间很长)口令即我们所谓的密码
流量取证技术
软件:wireshark必备
一般访问网页就是,80端口
考点最常是http
以上的命令就是在wireshark里的搜索行的筛选命令,筛选出来的就是包
协议分析就是大致对数据包中的文件类型或协议的分量
有个初步的了解:与一般都看IPv4的,协议为UDP和TCP
下方法就是追踪流
点开后,
这就是http的数据包,可能flag就藏在这里
特定包如下:
扫一扫
990
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
