學習鏈接:https://www.bilibili.com/medialist/play/ml776247675
一、文件內容隱寫
文件內容隱寫,就是直接將KEY以十六進制的形式寫在文件中,通常在文件的開頭或結尾部分,分析時通常重點觀察文件開頭和結尾部分。如果在文件中間部分,通常搜索關鍵字KEY或者flag來查找隱藏內容。
使用場景: windows下, 搜索隱寫的文件內容
1.Winhex/010Editor
通常將要識別的文件拖入winhex中,查找具有關鍵字或明顯與文件內容不和諧的部分,通常優先觀察文件首部和尾部,搜索flag或key等關鍵字,最後拖動滾輪尋找。
2.Notepad++
使用notepad++打開文件,查看文件頭尾是否有含有關鍵字的字符串,搜索flag或key等關鍵字, 最後拖動滾輪尋找。
另外通過安裝插件HEX- Editor可以實現winhex的功能。
二、圖片文件隱寫
**圖片隱寫的常見隱寫方法:
1.細微的顏色差別
2. GIF圖多幀隱藏
(1).顏色通道隱藏
(2).不同幀圖信息隱藏
(3). 不同幀對比隱寫
3. Exif信息隱藏
4.圖片修復
(1).圖片頭修復
(2). 圖片尾修復
(3). CRC校驗修復
(4). 長寬、高度修復
5.最低有效位LSB隱寫
6.圖片加密
(1). Stegdetect
(2). outguess
(3). Jphide
(4). F5
三、幾種圖片隱寫中可能會用到的工具
1.Firework
使用winhex打開文件時會看到文件頭部中包含firework的標識,通過firework可以找到隱藏圖片。
使用場景:查看隱寫的圖片文件
- Exif
Exijf按照PEG的規格在PEG中插入一些圖像/數字相機的信息數據以及縮略圖像可以通過與JPEG兼容的互聯網測覽器/圖片瀏覽器/圖像處理等一些軟件來查看Exif格式的圖像文件就跟瀏覽通常的PEG圖像文件一樣
圖片右鍵屬性,查看exif或查看詳細信息,在相關選項卡中查找flag信息。
![在這裏插入圖片描述]()
3.Stegsolve
當兩張jpg圖片外觀、大小、像素都基本相同時,可以考慮進行結分析,即將兩個文件的像素RGB值進行XOR、ADD、SUB等操作,看能否得到有用的信息,StegSolve可以方便的進行這些操作。
使用場景:兩張圖片信息基本相同
PS:用notepad++打開第一張圖片,發現最後面有一個鏈接,點進去下載第二張圖片
(1).打開第一張圖片,點擊analyse->lmage combiner(注意順序,先打開的是重新下載的圖片)
(2).在彈出的窗口中點擊左右按鈕
選擇處理方式,點擊save保存有價值的結果。
**圖片文件隱寫-LSB
4.LSB (最低有效位Least Significant Bit)
LSB替換隱寫基本思想是用嵌入的祕密信息取代載體圖像的最低比特位,原來的的7個高位平面與替代祕密信息的最低位平面組合成含隱藏信息的新圖形。
1.像素三原色(RGB)
2.通過修改像素中最低位的1bit來達到隱藏的效果
3.工具: stegsolve、 zsteg、 wbstego4、 python腳本
(1)Stegsolve.jar工具
第一步、打開文件>> Analyse > Data Extract
第二步、調整Bit Planes,Bit Order,Bit Plane Order
(2)zsteg工具
Installation
root@kali:/# gem install zsteg
檢測LSB隱寫
zsteg xxx.png
(3)wbstego4.工具
解密通過lsb 加密的圖片(主要針對後綴名爲.bmp、pdf等圖片)
(4)python腳本來處理
將以下腳本放在kali中運行,將目標文件放在腳本同目錄下,將腳本中的文件名修改爲文件名,運行python 即可(跑腳本或者將該圖片轉成png後用steg查看通道)
5.TweakPNG
TweakPNG是一款簡單易用的PNG圖像瀏覽工具,它允許查看和修改一 些PNG圖像文件的元信息存儲。
使用場景:文件頭正常卻無法打開文件,利用TweakPNG修改CRC
例:
1.當PNG文件頭正常但無法打開文件,可能是CRC校驗出錯,可以嘗試通過TweakPNG打開PNG, 會彈出校驗錯誤的提示,這裏顯示CRC是fe1a5ab6,正確的是b0a7a9f1。打開winhex搜索fe1a5ab6將其改爲b0a7a9f1。
有時CRC沒有錯誤,但是圖片的高度或者寬度發生了錯誤,需要通過CRC計算出正確的高度或者寬度。
- Bftools
bftools用於解密圖片信息。
使用場景:在windows的cmd下, 對加密過的圖片文件進行解密
格式:
Bftools. exe decode braincopter要解密的圖片名稱-output輸出文件名
Bftools.exerun.上一步輸出的文件
![在這裏插入圖片描述]()
7.SilentEye
silenteye是一款 可以將文字或者文件隱藏到圖片的解密工具。
使用場景: windows下打開silentEye工具,對加密的圖片進行解密
例:
1.使用silentEye程序打開目標圖片,點擊image->decode,點擊decode,可以查看隱藏文件,點擊保存即可
2.如果需要密碼,勾選encrypted data,輸入密碼和確認密碼,點擊decode再解密
四、JPG圖像加密
1.Stegdetect工具探測加密方式
Stegdetect程序主要用於分析PEG.文件。因此用Stegdetect 可以檢測到通過Steg.
JPHide. OutGuess. Invisible Secrets. F5. appendX
和Camouflage等這些隱寫工具隱藏的信息。
格式:
stegdetect xx.jipg
stegdetect -s敏感度xx.jpgexi
2.phide
Jphide是基於最低有效位LSB的JPEG格式圖像隱寫算法.
例:
Stegdetect提示jphide加密時,可以用Jphs. 工具進行解密,打開jphswin.exe, 使用open jpeg打開圖片,點擊seek,輸入密碼和確認密碼,在彈出文件框中選擇要保存的解密文件位置即可,結果保存成txt文件。
3.Outguess
outguess一般用於解密文件信息。
使用場景: Stegdetect識別出來或者題目提示是outguess加密的圖片
該工具需編譯使用: ./configure && make && make install
格式: outguess-r 要解密的文件名輸出結果文件名
4.F5
F5一般用於解密文件信息。
使用場景: Stegdetect識別出來 是F5加密的圖片或題目提示是F5加密的圖片
進入F5-steganography_ F5目錄,將圖片文件拷貝至該目錄下,從CMD進入該目錄
格式: Java Exrtact要解密的文件名-p密碼
運行結束後我們可以直接在目錄下的output.txt中看到結果。
五、二維碼處理
1.使用二維碼掃描工具CQR.exe打開圖片,找到內容字段
2.如果二維碼某個定位角被覆蓋了,該工具有時候也可以自動識別,如果識別失敗,需要使用PS或畫圖工具將另外幾個角的定位符移動到相應的位置,補全二維碼。
3.如果某個二維碼的定位點中間是白色,可能被反色了,使用畫圖工具把顏色反色回來再掃描即可。
