用一個(gè)ctf的題目作為例子吧，iscc2014中有一個(gè)題目，給了一個(gè)名為 此為gif圖片.gif的文件，打開發(fā)現(xiàn)了報(bào)錯(cuò)。有的時(shí)候，會(huì)需要我們?nèi)バ迯?fù)圖片，這對(duì)我們對(duì)于圖片的文件結(jié)構(gòu)要有了解。找到gif的文件格式，然后對(duì)照這個(gè)破損的文件。Gif的圖片格式文檔可以查看這個(gè)鏈接，http://dev.gameres.com/Program/Visual/Other/GIFDoc.htm

圖片8.png

用winhex打開，我們會(huì)發(fā)現(xiàn)他和普通的GIF圖片不一樣，頭部缺少了東西，在對(duì)比一些文檔，會(huì)發(fā)現(xiàn)是少了GIF8。

圖片9.png

我們手動(dòng)修復(fù)一下，增加GIF8。

圖片10.png

然后瀏覽圖片后會(huì)發(fā)現(xiàn)，有個(gè)PASSWORD一閃而過(guò)，gif和別的圖片最大的區(qū)別就是gif是動(dòng)態(tài)圖，它是可以由多幀組成的可以順序播放的，有的題就是把播放的時(shí)間弄得特別慢，幾乎就不會(huì)動(dòng)的，所以我們可以用工具一幀一幀的觀察圖片。Stegsolve就帶有這種功能。

Stegsolve——Analyse——Frame Brower就可以看到是有8幀的圖片，有點(diǎn)重疊不太好觀察，也可以用Namo_GIF_gr這個(gè)工具。得到了PASSWORD is Y2F0Y2hfdGhlX2R5bmFtaWNfZmxhZ19pc19xdW10ZV9zaW1wbGU=。很明顯，這個(gè)時(shí)候PASSWORD是經(jīng)過(guò)的編碼的，我們可以看到字符范圍是0-9a-Z結(jié)尾還有=，所以判斷是base64編碼，解碼得到了catch_the_dynamic_flag_is_qumte_simple。這個(gè)就是和編碼方式結(jié)合，傳遞一些可疑的數(shù)據(jù)，隱寫術(shù)常常會(huì)與加解密或編碼結(jié)合在一起，對(duì)一些常見的編碼和加密方法也要了解，得到密文的字符范圍和長(zhǎng)度能發(fā)現(xiàn)這是什么加密或者是編碼。

0x03 載體

數(shù)據(jù)在隱藏的時(shí)候，我們常常是需要先分析是數(shù)據(jù)隱藏在哪里，也就是他在利用是什么做載體，之后才可以進(jìn)一步的分析是加密或編碼的。這也就是說(shuō)我們要對(duì)一個(gè)圖片的格式要有了解，才能知道哪些地方是可疑的，哪些是可以隱藏起信息的，會(huì)有冗余的成分在。舉個(gè)例子吧，比如給了一個(gè)jpg的圖片。除了我們之前說(shuō)到的隱藏在結(jié)束符之后的信息，jpg圖片還可以把信息隱藏的exif的部分。exif的信息是jpg的頭部插入了數(shù)碼照片的信息，比如是用什么相機(jī)拍攝的。這些信息我們也是可以控制的，用查看屬性的方式可以修改一部分的信息，還可以用exif編輯器來(lái)進(jìn)行編輯。Power_exif這個(gè)可以用來(lái)編輯。