流量分析知识总结

今天实训的主要进行了对文件流量分析，图片隐写，文件分析的相关操作。以下为今天学习中个人认为的重点内容，以及部分知识的自学拓展。

一.核心内容概览

        隐写技术‌：包括图片(音频/视频)隐写（如GIF多帧隐藏、Exif信息提取）、文件头修复等。

      文件操作‌：如文件类型识别（file命令/010editor检测文件头）、文件分离与合并（使用binwalk/dd命令）。

        数据分析‌：涉及数据包分析（如Wireshark解析）、内存镜像分析、字符串与进制转换等。

二、知识点总结

        1.巧用追踪流：FTP用于在网络上进行文件传输，其密码存储在服务器配置文件中，通常以加密形式存储。我们将拿到的数据包在Wireshark中捕获和分析，其中我们可以通过查找关键数据的数据流，从中获取重要信息。

        2.灵活处理文件内容：文件内容可能采用不同的编码方式，如Base64编码。了解常见的编码方式及其特点，使用转码网站（如the - x.cn）将编码后的文件内容解码，恢复原始文件内容。

     

        3.隐写是将秘密信息隐藏在正常载体中的技术。一些情况下，我们需要仔细检查数据流中是否隐藏有我们需要的内容。

        4.有时我们会面对大量文本或代码，此时需要从中寻找关键线索如：

     %3D 是 URL 编码的 = 符号。

            此外其中对于JPEG图像文件，文件头包含了识别图像格式和存储图像数据所需的信息。JPEG文件的典型文件头是FF D8 FF E0

             积累：ZIP压缩包的文件头为50 4B 03 04，末尾为50 4B 01 02，因此若能在编码中找到部分文件头尾关键内容，则可判断存在文件包含，将其截取进行导出

5.图片隐写：将图片导入010Editor查看相关编码可以得到隐写部分

同样文件备注也可能存在隐写内容，也是多了个检查路子

6.当发现图片可能被隐藏了部分时，同样可以使用工具拓展图片，拿到被隐藏部分