圖片11.png
可以看到flag{AppLeU0},就是需要了解隱藏信息的地方��,隱寫術有的時候難��,就是難在了一張圖片有太多的地方可以隱藏信息了����,有的時候根本連隱藏的載體都找不到�,在你的眼里他就是一張正常的圖片���。
0x04 編程輔助
有一些情況下����,我們也是沒有現(xiàn)成的工具來完成的���,可以自己寫一些簡單的程序來輔助我們進行分析�,或者是加解密�。比如sctf的misc400的題目,就需要用到一些簡單的編程����。題目給出了一個png圖片,需要我們找到有SCTF{}標志的flag�。
這個題需要我們對于png圖片的格式有一些了解,先用stegsolve查看一下��,其他的LSB之類的并沒有發(fā)現(xiàn)什么問題���,然后看了一下結構發(fā)現(xiàn)���,有一些異常的IDAT塊�。IDAT是png圖片中儲存圖像像數(shù)數(shù)據(jù)的塊�。Png圖片格式的擴展閱讀可以看看這篇
http://www.cnblogs.com/fengyv/archive/2006/04/30/2423964.html
有詳細的介紹。
圖片12.png
可以用pngcheck來輔助我們觀察����,可以看得更加清晰��。pngcheck.exe -v sctf.png
圖片13.png
可以看到�,正常的塊的length是在65524的時候就滿了,而倒數(shù)第二個IDAT塊長度是45027��,最后一個長度是138�����,很明顯最后一個IDAT塊是有問題的��,因為他本來應該并入到倒數(shù)第二個未滿的塊里�����。
圖片14.png
我們用winhex把這一部分異常的IDAT塊給扣出來���。然后就是要研究研究這個塊是什么情況���,發(fā)現(xiàn)了載體之后就是要想辦法找出他的規(guī)律����。觀察那一部分的數(shù)據(jù)�����,可以看到是16進制的78 9C開頭的�,百度一下分析是zlib壓縮的標志。在png的百度百科里也可以查到PNG的IDAT是使用從LZ77派生的無損數(shù)據(jù)壓縮算法����,可以用zlib解壓。那么就嘗試用zlib來解一下這段數(shù)據(jù)����。Zlib的擴展閱讀http://zlib.net/
我們使用python來編程,先把那段數(shù)據(jù)處理一下��,保存成16進制的�。
