#MISC
文件类型 | 文件标志 |
---|---|
rar4 | 52 61 72 21 1A 07 00 |
rar5 | 52 61 72 21 1A 07 01 00 |
zip | 50 4B 03 04 |
PNG | 89 50 4E 47 0D 0A 1A 0A |
JPG | FF D8 FF E1(E0) |
bmp | 42 4D |
GIF | 47 49 46 “89a”(“87a”) |
##编码
- base系列编码
可以用CyberChef - shellcode编码
本质是16进制,每个字节前有\x - Quoted-printable编码
每个字节前都有=号,用CyberChef,随波逐流 - UUencode编码
60字符为一行,除最后一行外开头都应为"M",用随波逐流 - XXencode编码
编码原理类似base64,但转换表不同,用随波逐流 - URL编码
字符前带有% - 摩斯码
注意点横交换 - JSFuck编码
用firefox的控制台 - Brainfuck编码
还细分为Ook!和Short Ook!两种。python2 ook.py -o/-b xxx.txt分别为Brainfuck和Ook两种
##压缩包 - 是否存在备注
可以用010 editor查看 - 伪加密
- zip
将压缩包用010 editor打开,查看frFlags和deFlags的值,若文件没有设置密码,都为偶数,设置密码都为奇数,zip伪加密便是将其中一个改为奇数。
若两个值均为同一奇数,也可
同时减1,改为偶数尝试是否是伪加密 - rar
在block[0]的HEAD_FLAGS中的PASSWord_ENCRYPTED字节表示是否加密,1代表加密,可手动修改尝试。
- zip
- 爆破
- 使用ARCHPR进行操作
- CRC碰撞
使用crc32.py脚本进行碰撞。python2 crc32.py reverse 0xcrc值
##隐写
|jpg数据格式||
|:—😐:—😐
png数据格式 | 数据块含义 | 是否为多数据块 | 是否可选 | 位置 |
---|---|---|---|---|
IDHR | 文件头数据块 | 否 | 否 | 第一个数据块 |
PLTE | 调色板数据块 | 否 | 是 | 在IDAT前 |
pHYs | 物理像素尺寸数据块 | 否 | 是 | 在IDAT前 |
IDAT | 图像数据块 | 是 | 否 | 与其他IDAT相连 |
tIME | 图像最后修改时间数据块 | 否 | 是 | 无限制 |
tEXt | 文本信息数据块 | 是 | 是 | 无限制 |
zTXt | 压缩文本数据块 | 是 | 是 | 无限制 |
IEND | 图像结束数据块 | 否 | 否 | 最后一个数据块 |
###JPG一般
- 010 editor查看是否存在base码插入
- 检测是否存在隐写算法
Stegdetect工具检测是否存在隐写算法
stegdetect.exe -t joip -s 10 xxx.jpg
Stegbreak爆破Jhide密码
stegbreak.exe -r rules.ini -f passwd.txt -t p xxx.jpg
然后使用JHPS工具提取出文件
steghide使用方法:- 隐藏
steghide embed -cf xxx.jpg -ef xxx.txt -p xxx(密码)
- 提取
steghide extract -sf xxx.jpg -p xxx(密码)
- 隐藏
- GIF
- 分离GIF帧查看
使用gifsplitter分离帧
- GIF时间间隔提取
###隐写三板斧###
- 分离GIF帧查看
- 010 editor,strings
- stegSolve,zsteg
- binwalk,foremost
先使用010 editor和strings指令查看是否存在明显插入隐写,然后使用stegSolve查看是否使用LSB隐写,如果没有,尝试用zsteg查看是否隐藏字符串zsteg (-a) xxx.png/bmp
,也可以提取出文件zsteg -E (文件位置) xxx.png/bmp > xxx.zip/txt
需要使用重定向符号提取出来。最后可以用binwalk:binwalk (-e) xxx.png
或者foremost:foremost (-e) xxx.png
查看。
###三板斧plus版### - 宽高修改
- LSB信息加密隐写
- 隐写算法测试
###jpg一般用隐写算法,png一般用zsteg,binwalk,foremost
##取证
- file指令
查看文件格式
- strings指令
打印文件中的可打印字符
- binwalk指令
检测对象中有哪些文件,带"-e"选项即可提取文件
- 文件恢复