今天去参加了安全社团的笔试,考试前几个小时接到了一道题。明确地说明了用隐写术,解开这张图片就能提前拿到试题啦[误]。图片: https://ibb.co/cjy7f0 (一张超可爱的小猫图片!)
参考一下网上的一些解法,用winhex打开的文件末尾看到了FF D9,但是文件开始的2字节并不是FF D8。判断小猫图里隐藏了考卷的图。具体解题过程如下~
winhex
WinHex is in its core a universal hexadecimal editor, particularly helpful in the realm of computer forensics, data recovery, low-level data processing, and IT security.
用好Search 里的功能,毕竟那么多十六进制的代码我们的眼睛筛不过来~可以发现在文中有FF D8 FF E0的代码检索出来只有一处。(记得要选中检索HEX VALUEs)检索出的结果在这里->https://ibb.co/kgm5iL
记住我们需要寻找一个开始的2字节是FF D8,之后2个字节是FF E0 ,最后2个字节是为FF D9 的文件。现在换010editor来修改代码然后生成最终的结果。
010editor
Professional Text Editor
·Edit text files, XML, HTML, Unicode and UTF-8 files, C/C++ source code, etc.
·Unlimited undo and powerful editing and scripting tools.
·Huge file support (50 GB+).
World’s Best Hex Editor
·Unequalled binary editing performance for files of any size.
·Use powerful Binary Templates technology to understand binary data.
·Find and fix problems with hard drives, memory keys, flash drives, CD-ROMs, etc.
·Investigate and modify memory from processes.
虽然是英文的软件,但是可以用一些小常识来操作。File ->Open File 打开可爱的小猫图。Search ->Fild ->FF D8 FF E0,选中FF D8 FF E0以前的代码删掉。File ->Save As 保存就可以啦。
有一些资料里告诉我们FF D8是png文件的开头,如果把FF D8作为检索字会发现有不止一个结果。(也就是我第一次遇到的情况,后面查得更详细了发现了FF D8 FF E0)我觉得在这种情况下应该慢慢缩小范围,看一看每次去掉一部分代码后出现什么结果。
下面是可以随意取用的一些链接~
winhex+010editor(windows64位)
->链接:https://pan.baidu.com/s/1j4qGUldIkhY6cQdxx5NbVg
密码:0iqg
需要其他版本的010editor戳这里
->https://www.sweetscape.com/download/010editor/
想要练习的话原图和解出来的答案在这里
->链接:https://pan.baidu.com/s/1kVPgV6xWzBTUJYxYHRRsqA
密码:simk