CTF 杂项

图片隐写

压缩文件处理

流量取证技术

文件操作和隐写

1、文件类型识别

kali# file (文件名)

文件的识别通过文件的十六进制的头代码

• 文件头部残缺或文件头部字段错误 *

2、文件分离操作
1、

kali#  binwalk (文件名)       分析文件
kali#  binwalk -e (文件名)       分离文件

binwalk -e file 在遇到压缩包时会帮助我们解压
如果binwalk无法分离文件 则，可以使用 foremost
2、
foremost 使用方法
foremost 文件名 -o 输出目录名
3、
当文件自动分离出错或者因为其他原因无法自动分离时
可以实现dd实现文件手动分离
配合 binwalk
dd if=目录名 of=目标目录名 bs=1 count=... skip=...

3、文件合并
一般会给出md5值

代码块：
cat 文件名 文件名 文件名  >输出的文件
然后找出输出文件的md5值：
md5sum 文件名

4、文件内容隐写
flag 在十六进制中的ASCAll码里面
010ediotor ->search -> Find

图片隐写

1、细微的颜色差别
2、GIF图多帧隐藏JP

1. 颜色通道隐藏
2. 不同帧图信息隐藏
3. 不同帧对比隐写

3、Exif信息隐藏
4、图片修复

1. 图片头修复
2. 图片尾修复
3. CRC校验修复
4. 长宽高修复

5、最低有效位 LSB隐写
6、图片加密

1. Stegdetect
2. outguess
3. Jphide
4. F5

正文
1、利用firework来查看多帧隐藏和细微差别
2、查看文件属性来看Exif信息
3、当两张jpg图片外观大小，像素基本相同时，可以考虑结合分析；->stegsolve
颜色通道
4、LSB修复 最低有效位（重点）
利用stegsolve来做
.png 在kali中利用zsteg命令来查找

gem install zsteg
zsteg xxx.png

.bmp .pdf
最低有效位也可以用 wbstego4
5、CRC校验
使用场景：文件头正常然而无法打开文件 利用TweakPNG来查看正确的CRC
利用TweakPNG来查看文件的CRC是否校验错误
然后再利用010editor来改（search查找然后再去替换）
高度差的问题
2、CRC没有错误，然而图片的高度和宽度出现错误
开脚本运行！
3、解密
Bftools
用于解密图片信息
bftools.exe decode braincopter 要解密的文件名称 -output 输出文件名
bftools.exe run 上一步输出的文件
silentEye
按照他说的做呗
（专门）JPG图像加密
kali 系统：
stegdetect xxx.jpg
stegdetect -s 10.0(敏感度) xxx.jpgexi
解密完了之后用对应的软件或者命令行处理
Jphide
用jph工具去处理
outguess
kali环境下：
该工具需编译使用：
./configure&&make&&make install
outguess -r 要解密的文件名 输出结果文件名
F5
4、二维码处理
CQR.exe打开图片
存在 补充图片
还有取反