今天去參加了安全社團的筆試,考試前幾個小時接到了一道題。明確地說明了用隱寫術,解開這張圖片就能提前拿到試題啦[誤]。圖片: https://ibb.co/cjy7f0 (一張超可愛的小貓圖片!)
參考一下網上的一些解法,用winhex打開的文件末尾看到了FF D9,但是文件開始的2字節並不是FF D8。判斷小貓圖裏隱藏了考卷的圖。具體解題過程如下~
winhex
WinHex is in its core a universal hexadecimal editor, particularly helpful in the realm of computer forensics, data recovery, low-level data processing, and IT security.
用好Search 裏的功能,畢竟那麼多十六進制的代碼我們的眼睛篩不過來~可以發現在文中有FF D8 FF E0的代碼檢索出來只有一處。(記得要選中檢索HEX VALUEs)檢索出的結果在這裏->https://ibb.co/kgm5iL
記住我們需要尋找一個開始的2字節是FF D8,之後2個字節是FF E0 ,最後2個字節是爲FF D9 的文件。現在換010editor來修改代碼然後生成最終的結果。
010editor
Professional Text Editor
·Edit text files, XML, HTML, Unicode and UTF-8 files, C/C++ source code, etc.
·Unlimited undo and powerful editing and scripting tools.
·Huge file support (50 GB+).
World’s Best Hex Editor
·Unequalled binary editing performance for files of any size.
·Use powerful Binary Templates technology to understand binary data.
·Find and fix problems with hard drives, memory keys, flash drives, CD-ROMs, etc.
·Investigate and modify memory from processes.
雖然是英文的軟件,但是可以用一些小常識來操作。File ->Open File 打開可愛的小貓圖。Search ->Fild ->FF D8 FF E0,選中FF D8 FF E0以前的代碼刪掉。File ->Save As 保存就可以啦。
有一些資料裏告訴我們FF D8是png文件的開頭,如果把FF D8作爲檢索字會發現有不止一個結果。(也就是我第一次遇到的情況,後面查得更詳細了發現了FF D8 FF E0)我覺得在這種情況下應該慢慢縮小範圍,看一看每次去掉一部分代碼後出現什麼結果。
下面是可以隨意取用的一些鏈接~
winhex+010editor(windows64位)
->鏈接:https://pan.baidu.com/s/1j4qGUldIkhY6cQdxx5NbVg
密碼:0iqg
需要其他版本的010editor戳這裏
->https://www.sweetscape.com/download/010editor/
想要練習的話原圖和解出來的答案在這裏
->鏈接:https://pan.baidu.com/s/1kVPgV6xWzBTUJYxYHRRsqA
密碼:simk