文件操作隱寫

圖片隱寫

壓縮文件處理

流量取證技術(shù)

文章本來(lái)是分成4部分的，但是前兩部分何在一起寫了也就沒(méi)有分開(kāi)，所以干脆就只分了兩部分

文件基本類型的識(shí)別

一、kail 下

file 文件名

原理就是識(shí)別文件文件頭

比如這個(gè)軟件：

二、WinHex

通過(guò)winhex分析能得到16進(jìn)制和ascii, flag可能就在右邊ascii區(qū)頭部或尾部。

三、文件頭殘缺、錯(cuò)誤

只告訴說(shuō)是一個(gè)data文件；

這時(shí)要進(jìn)行修復(fù)：編輯文件頭區(qū)域修改為正確的方式 。

文件分離操作

一、Binwalk 工具

用法：

分析文件：binwalk filename

分離文件: binwalk -e filename

：分離出的壓縮包，通常會(huì)自動(dòng)解壓出來(lái)。

二、foremost

有時(shí)候binwalk -e 分離不出，則用 foremost

我一直都是binwalk查看，然后foremost分離

方法

foremost 文件名 -o 輸出目錄名

直接 foremost 文件名

也會(huì)自動(dòng)生成文件夾輸出到當(dāng)前目錄下

三、dd

前兩個(gè)工具都是自動(dòng)分離，有些題目復(fù)雜，如果都分離不出，可以使用dd實(shí)現(xiàn)文件手動(dòng)分離。

單純的題目：文件一部分是jpg,一部分是zip

復(fù)雜的題目：文件混雜，jpg和zip混合

圖二上 1324的文件排列順序，兩種文件混合

假設(shè)有個(gè) 1.txt 文件內(nèi)容123456789abcdefg。

格式：

dd if=源文件 of=目標(biāo)文件名 bs=1 skip=開(kāi)始分離的字節(jié)數(shù)

參數(shù)說(shuō)明：

if=file #輸入文件名，缺省為標(biāo)準(zhǔn)輸入

of=file #輸出文件名，缺省為標(biāo)準(zhǔn)輸入

bs=bytes #同時(shí)設(shè)置讀寫快的大小為bytes，可代替ibs和obs

skip=blocks #從輸入文件開(kāi)頭跳過(guò)blocks個(gè)塊后再開(kāi)始輔助。

四、winhex

除了dd，還可以使用winhex手動(dòng)分離，將目標(biāo)文件拖入winhex中，找到要分離的部分，點(diǎn)擊復(fù)制

五、010Editor

選中-右鍵選擇selection–save selectionb.

有的題目給了一個(gè)txt文件 打開(kāi)是16進(jìn)制文段，010Editor打開(kāi)查看文件頭，找出文件類型，另存為正確文件類型即可。

文件合并

一、Linux下的文件合并

使用場(chǎng)景：Linux下，通常對(duì)文件名相似的文件要進(jìn)行批量合并

格式 ：cat 合并的文件 > 輸出的文件

有md5可以進(jìn)行完整性校驗(yàn)的話

>> md5sum 文件名

二、windows下的文件合并

格式：copy /B 合并的文件(用加號(hào)連接，Linux空格即可) 合并后的文件名

copy /B gif01+gif02 2.gif

完整性校驗(yàn)：

certutil -hashfile 2.gif md5

：這些步驟大都只是一個(gè)解題步驟，文件合并了還打不開(kāi)，可以查看文件頭是否錯(cuò)誤。

文件內(nèi)容隱寫

通常KEY以十六進(jìn)制的形式寫在文件中，通常在文件的開(kāi)頭和結(jié)尾部分如果在文件中間部分，通常搜索關(guān)鍵字KEY或者flag來(lái)查找隱藏內(nèi)容。

window下

一、Winhex/010editor

二、Notepad++

010Editor最下方的查找。

使用的工具Linux下的 kail有自帶

window下的自行下載

Winhex

010editor

Notepad++

總結(jié)

以上是生活随笔為你收集整理的linux隐写文件剥离,杂项的基本解题思路(1)——文件操作隐写、图片隐写的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。