相关命令,工具:
***binwalk工具使用(提取文件隐藏的文件,原理就是检索匹配文件头)
binwalk test.jpg //显示文件名
dd if=test.png of=’test.rar’ bs=1 skip=100097 //根据偏移量提取文件
binwalk -e test.jpg //识别并自动化提取test.jpg中的文件
(http://www.freebuf.com/sectool/15266.html)
***formost恢复文件工具(extundelete是另一种)
基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具
支持恢复如下格式:avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov,
mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip。
安装#apt-get install foremost
删除USB(/dev/sdba1)存储器中一个 png 文件然后使用 formost 恢复:
rm -f /dev/sdb1/photo1.png
foremost -t png -i /dev/sdb1
(http://os.51cto.com/art/201401/426316.htm)
***strings,file,cat
*判断文件类型TrIDNet(http://www.pconline.com.cn/pcedu/teach/tool/0707/1065748.html)
下载后即可直接使用
图片隐写:
*对图片微处理
根据题目信息来做,可能跟cookie, 编码结合
可能通过firebug查看html,js注释的隐藏信息
通过exif属性的信息隐写:右键图片-属性-详细信息
一些文件如png无法直接打开,也许是缺少文件头,在16进制下加上文件头后即可
尝试修改图片分辨率,查看flag是否被覆盖:http://bobao.360.cn/ctf/learning/137.html 强网杯
base64编码后的文件:Data:image/png;base64…….. Base64编码后的png图片,放到浏览器上回车得到图片
改后缀.txt,搜索flag,key,ctf,{,flage等关键词
有些图片直接用记事本打开看不到内容,但在linux下用cat filename就会得到意想不到的结果。
***stegsolve(http://www.caesum.com/handbook/Stegsolve.jar)
Stegsolve——Analyse——Frame Browser。浏览每个颜色通道的每一位,看是否隐藏了二维码
(二维码在线解码: