配合我之前的简文中提及的Binwalk,Stegsolve神器。基本能解决大多数的Misc题目。
安装步骤:
有
Stegsolve
Stegdetect
一个jpg的。除了我们之前说到的隐藏在结束符之后的信息,jpg还可以把信息隐藏的exif的部分。exif的信息是jpg的头部插入 了数码照片的信息,比如是用什么相机拍摄的。这些信息我们也是可以控制的,用查看属性的方式可以修改一部分的信息,还可以用exif编辑器来进行编辑。
隐写术有的时候难,就是难在了一张有太多的地方可以隐藏信息了,有的时候根本连隐藏的载体都找不到,在你的眼里他就是一张正常的。
这个题需要我们对于png的格式有一些了解,先用stegsolve查看一下,其他的LSB之类的并没有发现什么问题,然后看了一下结构发现,有一些异常的IDAT块。IDAT是png中储存图像像数数据的块。
解隐写题的思路:
首先看看是不是图种
然后使用binwalker分析,如果是有文件合成,分离
有时信息藏在备注中
工具stegsolve
编程分析
png像数保存是从左到右,从下往上排列的。
png经过了压缩,不好直接对比每个字节,而bmp是没有压缩的,直接保存各个像数点的数据。
是省赛,练习题和比赛题挑了几个有意思的和没见过的写这里了,有几个题没什么用留个工具就好(大部分题都能用txt打开->搜索字符串搞出来(…………)
101,102,114,117没做出来,写检讨去了
完整wp见 >Stegsolve是一个用于隐写术分析的工具,它是用Java编写的。要使用它,首先需要安装Java运行环境。然后,在命令行中进入到stegsolvejar文件所在的目录,并输入以下命令运行它:
java -jar stegsolvejar
这样就会打开stegsolve的图形界面,您可以使用它来分析图像文件中的隐藏信息。以“FF D8 FF E0”开头,以“FF D9”结尾的是jpeg文件;如下图所示,"FF D9"之后的部分“50 4B 03 04”是zip文件的开头,对应的ASCII文本为“PK”,这表示jpg文件之后追加了一个zip文件;
有的隐写题给出的doc或者其他格式的文件,用winhex打开查看文件头,可以判断实际上是哪种格式,比如有一题doc格式打开发现头是PK,这是zip格式,改后缀,解压就得到了flag。
有的隐写,给你一个img后缀的文件,在linux用foremost,foremost会讲你在winhex看到的里面包含的其它格式的文件全部分离出来,像有一题就是分离后,出现很对jpg文件和一个png文件,png文件即为key;
还有的给你一张,提示跟颜色有关,应该想到lsb,用stegsolve的功能即可;
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)