【技术记录】MISC图片取证

最新推荐文章于 2024-09-05 03:15:24 发布

H3arts

最新推荐文章于 2024-09-05 03:15:24 发布

阅读量1.8k

点赞数

分类专栏： Others 文章标签：技术信息安全 it

本文链接：https://blog.youkuaiyun.com/H3arts/article/details/45851937

版权

这篇技术记录讲述了作者如何通过分析一张图片，发现它实际上是一个压缩文件，并通过找到隐藏的密码，成功解压得到另一个文件。经过进一步的文件头修复，作者最终揭示了隐藏的flag，展示了图片取证的过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

校内第一届信息安全夺旗赛，坐了一天，做出了一道题......
第一篇博文就献给做出的第一题吧......

【技术记录】MISC图片取证

下载给出的网址，拿到这样一张图片。
开始无从着手，不知道怎么入手。后面尝试用记事本打开，在文档最后发现

【技术记录】MISC图片取证

看来是还有一个flag.jpg的文件，而且还应该有什么密码的，

于是想到这个图片会不会是一个压缩文件，果断改了图片后缀名.rar，解压！

输入密码.....密码在哪？继续看记事本

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

H3arts

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

21FIC神秘比赛取证，综合性高，misc和取证结合，网站全新的docker架构，题目蛮有意思。

ntrybw的博客

03-29

2765

由于题目特殊，内部试题，检材必须私信我才能给，见谅见谅，真的是没办法，抱歉抱歉。案情一：警方收到受害者 A 报案称，其电脑感染勒索病毒，重要文件被病毒加密；经询问，A 称他在上网时，发现了一个帖子，其中有教程和“梯子”工具可以让他很方便的浏览境外网站，当他安装完成后，通过浏览器打开 google 网站后跳转到了一个色情网站，没有禁受住诱惑，A 点击了网站上的视频，播放视频需要下载播放器，当他下载完成并运行后，发现电脑重要文件被加密；

CTF 之 MISC杂项

qq_69872924的博客

04-18

2084

CTF竞赛的意义在于提供一个安全、可控的环境，让网络安全技术人员能够展示他们的技能，学习新的知识和技术，并与其他同行进行交流和合作。同时，CTF竞赛也是选拔和培养网络安全人才的重要途径，优秀的参赛者往往能够脱颖而出，成为网络安全领域的佼佼者。通过培训，参赛者可以学习如何识别和分析不同类型的文件，掌握隐写术的基本原理和技巧，了解数字取证的基本流程和方法，以及熟悉各种编码解码技术和密码学原理。题目分析：对题目进行深入的分析，包括理解题目的要求、查找相关的资料、分析题目所涉及的技术或概念等。

参与评论您还未登录，请先登录后发表或查看评论

图片隐藏信息查看小工具

04-27

查看图片的隐藏信息，CTF图片题解密神器，CMD下运行。

Misc图片篇(基础操作)

憨憨的博客

05-13

1213

misc入门图片篇(基础操作) misc1 下载附件解压是一张图片，图片打开就是flag ctfshow{22f1fb91fc4169f1c9411ce632a0ed8d} misc2 同样下载下来解压，然后是TXT文件，打开发现是乱码，但是前面有NG，明显是png图片直接改后缀然后打开图片 ctfshow{6f66202f21ad22a2a19520cdd3f69e7b} misc3 下载解压，是一个bpg格式的文件，双击打开就是flag，刚刚百度了一下，bpg是一种图片格式。 ctfs

PNG图片隐写IDAT分析（3）

热门推荐

a1b2c3是弱口令

08-20

2万+

使用工具pngcheck 命令：pngcheck.exe -v sctf.png 发现有个异常的IDAT 0X15aff7 一共提权138位。使用zlib进行压缩，代码如下： #! /usr/bin/env python import zlib import binascii IDAT = "789C5D91011280400802BF04FFFF5C75294B55...

CTFshow-Misc入门图片篇（一）

xl2655894520的博客

03-12

1097

ctf解题wp

ctfshow-Misc入门图片篇(1-34)

御七彩虹猫

10-14

6061

ctfshow-Misc入门图片篇(1-34) Misc-图片篇(基础操作) MISC1 MISC1

CTF刷题笔记 - misc方向 - 电子取证内存分析_ctf 镜像恶意进程分析

2401_86436851的博客

09-05

1552

首先，分析VMEM文件整体信息然后，通过 lsadump 查看内存中密码凭据的明文缓存数据，得到flag。

ctfshow misc24

02-16

CTF竞赛中的杂项（Miscellaneous, Misc）类别通常涉及各种类型的挑战，这些挑战可能涵盖隐写术、文件格式分析、网络取证等多个方面。对于特定的`misc24`题目，在没有具体描述的情况下，可以从已有的资料推测该类别的...

ctfshow-Misc入门图片篇(1-49)

volcano的博客

03-27

2万+

八神出的misc入门系列图片篇图片篇(基础操作)misc1misc2misc3misc4misc5misc1misc1misc1 图片篇(基础操作) misc1 打开图片，看到flag misc2 下载得到misc2.txt，这是一个点，不要相信题目所给附件的后缀，用winhex打开发现是一个png文件，修改后缀为png，打开得到flag misc3 misc4 misc5 misc1 misc1 misc1 ............

Misc

Imtinmin的博客

05-06

1342

png图片隐写，Winhex打开改长宽

CTF show MISC入门图片篇(基础操作)

路baby的博客

06-22

788

CTF show MISC入门图片篇(基础操作) misc1，misc2，misc3，misc4，加油各位

MISC：图片隐写的破解方法.

网络安全领域___专研者.

05-12

1万+

Misc即杂项，是信息隐藏又称信息伪装，就是通过减少载体的某种冗余，如空间冗余、数据冗余等，来隐藏敏感信息，达到某种特殊的目的。信息隐藏打破了传统密码学的思维范畴，从一个全新的视角审视信息安全。与传统的加密相比，信息隐藏的隐蔽性更强，在信息隐藏中，可以把这两项技术结合起来，先将秘密信息进行加密预处理，然后再进行信息隐藏，则秘密信息的保密性和不可觉察性的效果更佳。

电子取证（详细）

mr_xioabai的博客

07-09

802

最近不知道咋地想搞搞取证方面的问题，这不正好做出一道内存取证，也看了看佬们的wp，也许有很多问题，也请大家指正一下。img格式是一种文件压缩格式（archive format），主要是为了创建软盘的镜像文件（disk image），它可以用来压缩整个软盘（通常指软软盘，Floppy Disk或Diskette）或整片光盘的内容，使用".IMG"这个的文件就是利用这种文件格式来创建的。.IMG这个文件格式可视为.ISO格式的一种超集合。

【镜像取证篇】qemu-img磁盘镜像转换神器

蘇小沐的电子数据取证博客

10-11

5191

【镜像仿真篇】qemu-img磁盘镜像转换神器转换磁盘镜像格式，便于仿真搭建–【suy】文章目录【镜像仿真篇】qemu-img磁盘镜像转换神器一、qemu-img：磁盘镜像格式转换工具1、功能简介2、支持格式3、下载地址二、raw、qcow2等镜像装换为vmdk1、命令：./qemu-img convert -f raw NDASH.raw【源镜像路径】 -O vmdk NDASH.vmdk【输出镜像路径】2、转换后的镜像![在这里插入图片描述](https://img-blog.csdnimg.cn/

MISC入门——图片隐写

HasntStartIsOver的博客

05-24

4787

可交换图像文件格式（英语：Exchangeable image file format，官方简称Exif），是专门为数码相机的照片设定的，可以记录数码照片的属性信息和拍摄数据。

【工具】-Misc-PNG图片高度宽度CRC爆破脚本

zxsctf的博客

02-05

5500

接下来第二行前8个hex数据都是表示宽高的：00 00 07 80 00 00 09 5F，这里表示宽度为07 80，高度为09 5F，这两组数据转换为10进制就是1920x2399。这里的CRC指的是CRC32，也就是PNG图片的一个效验位，是一种不可逆运算，类似于MD5，作为数据效验或效验文件的完整性使用。有的CTF题目会修改PNG图片的宽高，这在没有CRC检测的国内软件或Windows的图片看来是正常的。接下来的4组（16个）Hex组成的则是CRC校验码，我这里是13 97 08 36。

【2023 雷泽杯 · Misc】png的秘密

Mr_Fmnwon的博客

05-21

1145

这题是png隐写基础方法的集成者，加深了对png隐写的理解。

ctfshow_图片篇(信息附加)

qq_45951598的博客

04-13

925

文章目录misc5misc6misc7misc8misc9misc10misc11 misc5 editor直接打开 misc6 misc7 editor打开 misc8 用editor搜索发现有两个png 用foremost分离一下得到 misc9 提示: flag在图片块里。用png模板打开在图片块里找到。 misc10 提示 flag在图片数据里。用editor打开搜索flag发现没有 misc11 提示 flag在另一张图里。 IDAT定义：图像数据块IDAT(image da

buuctfmisc图片隐写

最新发布

03-09

### 关于BUUCTF Misc 类别中图片隐写的技巧 #### LSB 隐写术的应用在处理无损图像格式如 BMP 或 PNG 文件时，可以利用最低有效位 (LSB) 进行信息隐藏[^1]。通过改变这些图像像素值中最不重要的比特位，可以在不影响视觉效果的情况下嵌入秘密消息。对于 JPEG 格式的图片，则不适合采用此方法因为其压缩特性会破坏所藏匿的数据完整性。 #### 使用Wireshark进行网络流量分析以发现隐藏内容当面对可能存在被隐蔽传输过的多媒体资源时，可以通过抓取并审查通信过程中的数据包来寻找蛛丝马迹。例如，在某些情况下，JPEG 文件会在HTTP请求响应体里以Base64编码的形式存在，并可通过特定字符串 `/9j/` 来识别它们的存在[^2]。一旦确认目标对象为所需类型的媒体文件之后，就可以尝试将其转换回原始格式以便进一步研究。 #### 提取和恢复潜在的隐藏文件为了从复杂的二进制流或是其他难以直接读取的地方获取完整的文件副本，foremost 是一款非常实用的选择之一。它能够基于已知文件签名自动扫描输入源并将匹配的结果保存下来供后续操作使用。 ```bash sudo apt-get install foremost foremost -t all -i input_file -o output_directory/ ``` 上述命令展示了如何安装以及运行 `foremost` 工具来进行批量提取工作；其中 `-t all` 参数指示程序去查找尽可能多的不同种类的目标文档而不限定具体类型，`input_file` 表示待处理的数据集路径名，最后指定一个用于存放最终成果物的新建目录位置作为参数传递给 `-o` 选项即可完成整个流程设置。 #### 利用图形编辑软件辅助判断有时候仅靠技术手段还不足以完全揭开谜底，这时就需要借助像 Audacity 这样的声音可视化应用程序帮助观察音频信号特征变化情况从而推测出更多有用情报。不过针对静态影像类素材而言，也可以考虑相似思路——即选用支持层叠样式表(CSS)渲染引擎的专业绘图平台（如 GIMP），通过对可疑区域做细致调整直至显露出原本不可见的信息片段为止。