题目类型
- 编码解码题:base64、古典密码、摩斯电码、曼彻斯特编码、二维码、条形码等
- 流量包取证题:HTTP、HTTPS、DNS、WPA等
- 图片隐写取证题:EXIF信息、LSB隐写、图片修复
- 其他题目:音频分析、PPC、压缩包、内存/硬盘取证
常见编码解码
摩斯电码:在线解密即可
古典密码:简单了解即可,记住特征,类似题目考脑洞
曼彻斯特编码:了解特征,使用熟悉的语言编写脚本解码
二维码:二维码提取:PS拉伸、缩小,调阈值
二维码修复:Strong QR decoder
手工修复参考
流量包取证
HTTP
HTTPS
DNS
WPA
图片隐写取证
- Exif信息:在线查看 exif.cn 本地工具exiftool
- LSB隐写:Stegsolve,Analyse->Data Extract
- 图片修复:010editer Template、修改高度,Analyze->File Format
- 其他:Binwalk观察是否有多余数据、Bmp或者Png题目使用zsteg可以进行一定程度的自动化检测提取、盲水印,可以寻找原图diff
其他
- 音频分析:adobe Audition 观察波形、查看频谱、MP3stego等其他隐写软件
- PPC:pwntools、一般比较简单,二分动态规划等
- 压缩包:爆破、010editor Template,伪加密
- 内存/硬盘取证:Volatility,Binwalk,Dsfok-tools,FTK
图片隐写
- gif base转图片 图种差异性 路由器逆向分析 png图片文件宽度(TweakPNG)
- 清晰度(SmartDeblur)
- 盲水印:github.com/chishaxie/Bind
- 隐写检测:Stegdelect
- 对图片隐写:善用010editor分析文件结构
a.删除文件头b.乱该文件头c.错配文件头
压缩包隐写
- 常见格式:rar zip 7z
- 格式分析:
Zip 无加密 伪加密 真加密 - 压缩包+图片
- 压缩包加密
- CRC32碰撞
- 压缩包已经明文攻击 archpr
音频隐写
- 波形图隐藏莫斯电码 audacity
- 波形图隐藏二进制数 非归零码 曼彻斯特码 差分曼彻斯特
- 波形图转频谱图
- MP3stego隐写
文本隐写
文本隐写方法:
- 文档格式微调:行移、字移、修改字符颜色等
- 空格回车标点法:添加空格和回车,添加标点符号
- 字符特征法:字体替换、汉字结构
- 自然语言法:同义词替换、句法变换