1.判断文件类型
(1)kali命令 (适用于文件没有后缀名 不知道文件类型的情况下)
file 文件名
(2)winhex和010
通过查看文件头 判断文件类型
3.文件头部残缺
需要修复 修复操作包括但不限于
文件头补充完整 文件分离(推荐binwalk) 文件合并
图片类
1.细微的颜色差别
肉眼看不出 需要用工具去分析
2.GIF图多帧隐藏
(注意firework标识 这也是工具)
(1)颜色通道隐藏
(2)不同帧图信息隐藏
(3)不同帧对比隐写
在线可用网址
https://tu.sioe.cn/gj/fenjie/
3.Exif信息隐藏
(也可以右击图片 属性中详细信息查找有无隐藏信息)
可以用EXIF元数据编辑器打开
4.图片修复
(1)图片头修复
(2)图片尾修复
(3)CRC校验修复
(4)长宽高修复
5.最低有效位LSB隐写
用嵌入的秘密信息取代载体图像的最低比特位 原来的7个高位屏幕与替代秘密信息的最低位平面组合成含隐藏信息的新图形
(1)像素三原色(RGB)
(2)通过修改像素中的最低位的1bit来达到隐藏的效果(很喜欢考 经常出现!!!)
(3)工具:stegsolve zsteg(linux) wbstego4(pdf也可以做 针对bmp较多) python脚本
6.图片加密
(1)Stegdetect
(2)outguess(linux)
(3)Jphide
(4)F5(windows)
Stegsolve
当两张jpg图片外观 大小 像素都基本相同时 可以将两个文件像素RGB值进行XOR(异或) ADD(加) SUB(减)等操作 看能否得到有用的信息
TweakPNG
允许查看和修改一些PNG图像文件的元信息存储
使用场景:文件头正常却无法打开文件,利用TweakPNG修改CRC
Bftools
用于解密图片信息
使用场景:在windows的cmd下 对加密过的图片文件进行解密
格式
Bftools.exe decode braincopter 要解密的图片名称 -output 输出文件名
Bftools.exe run 上一步输出的文件
SilentEye
图片隐写工具
7.图片宽高篡改
十六进制数值的图片宽高被篡改 需要修改
图片宽高脚本修改:修改文件名 修改crc值
8.二维码处理
QR_Research
如果识别失败 需要用PS或者画图工具将另外几个角的定位符移动到相应位置 补全二维码
如果二维码定位点中间是白色的 可能被反色了 使用画图工具把颜色反色回来再扫描
9.snow隐写
cmd下运行 需要密文和需要解密数据
文件类
压缩文件分析
伪加密
如果压缩文件是加密的,但文件头正常但解压缩错误,首先尝试文件是否为伪加密
(1)zip文件
zip文件是否加密是通过标识符来显示的,在每个文件的文件目录字段有一位专门设置了文件是否加密,将其设置为00表示该文件未加密
如果成功解压表示文件为伪加密 解压出错说明文件为真加密
如何寻找
1.找到第二个全局方式位标记的50 4B 也就是从头往后输第二个50 4B
2.从50开始 50算第一位
3.往后数的第九位和第十位
4.如果是偶数 则不是伪加密 如果是奇数 则是伪加密
(2)rar文件
RAR文件由于有头部校验,使用伪加密是打开文件会出现报错,使用winhex修改标志位后如果报错消失且正常解压 说明是伪加密
如何寻找
使用winhex打开 找到第24个字节(7列往下数第2行) 该字节尾数为4表示加密 0表示无加密 将尾数改为0即可破解伪加密
暴力破解
ARCHPR
攻击类型分为 暴力 字典 明文 掩码等
暴力和字典就不说了 很简单
1.两个文件 明文攻击
2.掩码
攻击类型选择掩码 可以进行复杂的暴力破解
比如知道密码前3位是asd,后3位为数字,则在攻击类型中选择掩码,在掩码处输入asd??? ,暴力范围选项中选择所有的数字,打开要破解的点击。此时???部分会被数字代替
查看MD5校验码
查看下载文件的MD5,SHA1,SHA256校验码
cmd打开
certutil -hashfile filename(文件路径) 校验码类型
例子: certutil -hashfile C:\Users\zhang\Downloads\android-ndk-r23b-windows.zip MD5
RAR文件格式修复
有时候给出RAR文件的头部各个字块缺失
文件块的第三个字节为块类型,也叫头类型
0x72 标记块 0x73 压缩文件头块 0x74 文件头块 0x75注释头