2/16更新(学习笔记)

#MISC

文件类型	文件标志
rar4	52 61 72 21 1A 07 00
rar5	52 61 72 21 1A 07 01 00
zip	50 4B 03 04
PNG	89 50 4E 47 0D 0A 1A 0A
JPG	FF D8 FF E1(E0)
bmp	42 4D
GIF	47 49 46 “89a”(“87a”)

##编码

• base系列编码
  可以用CyberChef
• shellcode编码
  本质是16进制，每个字节前有\x
• Quoted-printable编码
  每个字节前都有=号，用CyberChef,随波逐流
• UUencode编码
  60字符为一行，除最后一行外开头都应为"M"，用随波逐流
• XXencode编码
  编码原理类似base64，但转换表不同，用随波逐流
• URL编码
  字符前带有%
• 摩斯码
  注意点横交换
• JSFuck编码
  用firefox的控制台
• Brainfuck编码
  还细分为Ook!和Short Ook!两种。python2 ook.py -o/-b xxx.txt分别为Brainfuck和Ook两种
  ##压缩包
• 是否存在备注
  可以用010 editor查看
• 伪加密
  • zip
    将压缩包用010 editor打开，查看frFlags和deFlags的值，若文件没有设置密码，都为偶数，设置密码都为奇数，zip伪加密便是将其中一个改为奇数。
    若两个值均为同一奇数，也可
    同时减1，改为偶数尝试是否是伪加密
  • rar
    在block[0]的HEAD＿FLAGS中的PASSWord_ENCRYPTED字节表示是否加密，1代表加密，可手动修改尝试。
• 爆破
  • 使用ARCHPR进行操作
  • CRC碰撞
    使用crc32.py脚本进行碰撞。python2 crc32.py reverse 0xcrc值
    ##隐写
    |jpg数据格式||
    |:—😐:—😐

png数据格式	数据块含义	是否为多数据块	是否可选	位置
IDHR	文件头数据块	否	否	第一个数据块
PLTE	调色板数据块	否	是	在IDAT前
pHYs	物理像素尺寸数据块	否	是	在IDAT前
IDAT	图像数据块	是	否	与其他IDAT相连
tIME	图像最后修改时间数据块	否	是	无限制
tEXt	文本信息数据块	是	是	无限制
zTXt	压缩文本数据块	是	是	无限制
IEND	图像结束数据块	否	否	最后一个数据块

###JPG一般

• 010 editor查看是否存在base码插入
• 检测是否存在隐写算法
  Stegdetect工具检测是否存在隐写算法
  stegdetect.exe -t joip -s 10 xxx.jpg
  Stegbreak爆破Jhide密码
  stegbreak.exe -r rules.ini -f passwd.txt -t p xxx.jpg
  然后使用JHPS工具提取出文件
  steghide使用方法:
  • 隐藏steghide embed -cf xxx.jpg -ef xxx.txt -p xxx(密码)
  • 提取steghide extract -sf xxx.jpg -p xxx(密码)
• GIF
  • 分离GIF帧查看

    使用gifsplitter分离帧

  • GIF时间间隔提取
    ###隐写三板斧###

1. 010 editor，strings
2. stegSolve，zsteg
3. binwalk，foremost
   先使用010 editor和strings指令查看是否存在明显插入隐写,然后使用stegSolve查看是否使用LSB隐写，如果没有，尝试用zsteg查看是否隐藏字符串zsteg (-a) xxx.png/bmp，也可以提取出文件zsteg -E (文件位置) xxx.png/bmp > xxx.zip/txt需要使用重定向符号提取出来。最后可以用binwalk：binwalk (-e) xxx.png或者foremost：foremost (-e) xxx.png查看。
   ###三板斧plus版###
4. 宽高修改
5. LSB信息加密隐写
6. 隐写算法测试

###jpg一般用隐写算法，png一般用zsteg，binwalk，foremost

##取证

1. file指令

   查看文件格式

2. strings指令

   打印文件中的可打印字符

3. binwalk指令

   检测对象中有哪些文件，带"-e"选项即可提取文件

4. 文件恢复