用一個ctf的題目作為例子吧,iscc2014中有一個題目,給了一個名為 此為gif圖片.gif的文件��,打開發(fā)現(xiàn)了報錯。有的時候���,會需要我們?nèi)バ迯蛨D片���,這對我們對于圖片的文件結(jié)構(gòu)要有了解。找到gif的文件格式�,然后對照這個破損的文件。Gif的圖片格式文檔可以查看這個鏈接�,http://dev.gameres.com/Program/Visual/Other/GIFDoc.htm
圖片8.png
用winhex打開,我們會發(fā)現(xiàn)他和普通的GIF圖片不一樣����,頭部缺少了東西���,在對比一些文檔,會發(fā)現(xiàn)是少了GIF8����。
圖片9.png
我們手動修復一下,增加GIF8��。
圖片10.png
然后瀏覽圖片后會發(fā)現(xiàn)�,有個PASSWORD一閃而過�����,gif和別的圖片最大的區(qū)別就是gif是動態(tài)圖����,它是可以由多幀組成的可以順序播放的,有的題就是把播放的時間弄得特別慢�����,幾乎就不會動的�,所以我們可以用工具一幀一幀的觀察圖片。Stegsolve就帶有這種功能�����。
Stegsolve——Analyse——Frame Brower就可以看到是有8幀的圖片,有點重疊不太好觀察��,也可以用Namo_GIF_gr這個工具�。得到了PASSWORD is Y2F0Y2hfdGhlX2R5bmFtaWNfZmxhZ19pc19xdW10ZV9zaW1wbGU=。很明顯���,這個時候PASSWORD是經(jīng)過的編碼的�,我們可以看到字符范圍是0-9a-Z結(jié)尾還有=���,所以判斷是base64編碼��,解碼得到了catch_the_dynamic_flag_is_qumte_simple�。這個就是和編碼方式結(jié)合���,傳遞一些可疑的數(shù)據(jù)���,隱寫術(shù)常常會與加解密或編碼結(jié)合在一起,對一些常見的編碼和加密方法也要了解�,得到密文的字符范圍和長度能發(fā)現(xiàn)這是什么加密或者是編碼。
0x03 載體
數(shù)據(jù)在隱藏的時候��,我們常常是需要先分析是數(shù)據(jù)隱藏在哪里,也就是他在利用是什么做載體�,之后才可以進一步的分析是加密或編碼的。這也就是說我們要對一個圖片的格式要有了解���,才能知道哪些地方是可疑的�,哪些是可以隱藏起信息的�����,會有冗余的成分在��。舉個例子吧���,比如給了一個jpg的圖片。除了我們之前說到的隱藏在結(jié)束符之后的信息��,jpg圖片還可以把信息隱藏的exif的部分����。exif的信息是jpg的頭部插入了數(shù)碼照片的信息,比如是用什么相機拍攝的���。這些信息我們也是可以控制的����,用查看屬性的方式可以修改一部分的信息,還可以用exif編輯器來進行編輯�����。Power_exif這個可以用來編輯��。
