misc的四大部分：

• 文件操作與隱寫
• 圖片隱寫術(shù)
• 壓縮文件處理
• 流量取證技術(shù)

文件操作與隱寫

文件類型識(shí)別

1. File命令

   當(dāng)文件沒(méi)有后綴名或者有后綴名而無(wú)法打開(kāi)時(shí)，根據(jù)識(shí)別出的文件類型來(lái)修改后綴名即可正常打開(kāi)文件。

   使用場(chǎng)景：不知道后綴名，無(wú)法打開(kāi)文件

   Linux環(huán)境下命令格式：file+文件名

2. winhex

   通過(guò)winhex程序中可以查看文件頭類型，根據(jù)頭類型判斷文件類型

   使用場(chǎng)景：windows下通過(guò)文件頭信息判斷文件類型

常見(jiàn)的文件頭類型如下：

文件類型	文件頭
JPEG(jpg)	FFD8FFE1
PNG(png)	89504E47
GIF(gif)	47494638
TIFF(tiff)	49492A00
Windows Bitmap(bmp)	424DC001
ZIP Archive(ZIP)	504B0304
RAR Archive(rar)	52617221
Adobe Photshop(psd)	38425053
Rich Text Format(rtf)	7B5C727466
XML(xml)	3C3F786D6C
HTML(html)	68746D6C3E
Adobe Acrobat(pdf)	255044462D312E
Wave(wav)	57415645
pacp	4D3C2B1A

3. 文件頭殘缺/錯(cuò)誤

   通常文件無(wú)法正常打開(kāi)有兩種情況，一種文件頭部殘缺，另一種頭部字段錯(cuò)誤。針對(duì)文件頭部殘缺的情況，使用winhex程序添加相應(yīng)的文件頭，針對(duì)頭部字段錯(cuò)誤，可以找一個(gè)相同類型的文件進(jìn)行替換。

   使用場(chǎng)景：文件頭部殘缺或文件頭部字段錯(cuò)誤無(wú)法打開(kāi)正常文件

   格式：file 文件名

   

文件分離操作

1. Binwalk工具

   Binwalk工具是Linux下用來(lái)分析和分離文件的工具，可以快速分辨文件是否由多個(gè)文件合并而成，并將文件進(jìn)行分離。如果分離成功會(huì)在目標(biāo)文件的目錄。

   同目錄下生成一個(gè)形如_文件名_extracted的文件目錄，目錄中有分離后的文件。

   用法：

   分析文件：binwalk filename

   分離文件：binwalk -e filename

   注：binwalk遇到壓縮包會(huì)自動(dòng)解壓。

2. formost

   如果binwalk無(wú)法正確分離文件，可以使用foremost，將目標(biāo)文件復(fù)制到kali中，成功執(zhí)行后，會(huì)在目標(biāo)文件的文件目錄下生成我們?cè)O(shè)置的目錄，目錄中會(huì)按文件類型分離出文件。

   用法：

   foremost 文件名 -o 輸出目錄名

3. dd

   當(dāng)文件自動(dòng)分離出錯(cuò)或者因?yàn)槠渌驘o(wú)法自動(dòng)分離時(shí)，可以使用dd實(shí)現(xiàn)文件手動(dòng)分離。

   格式：dd if=源文件 of=目標(biāo)文件名 bs=1 skip=開(kāi)始分離的字節(jié)數(shù)

   參數(shù)說(shuō)明：

   if=file #輸入文件名，缺省為標(biāo)準(zhǔn)輸入

   of=file #輸出文件名，缺省為標(biāo)準(zhǔn)輸出

   bs=bytes #同時(shí)設(shè)置讀寫塊的大小為bytes，可代替ibs和obs

   skip=blocks #從輸入文件開(kāi)頭跳過(guò)blocks個(gè)塊后再開(kāi)始復(fù)制

4. Winhex

   除了使用dd外，還可以使用winhex實(shí)現(xiàn)文件手動(dòng)分離，將目標(biāo)文件拖入問(wèn)winhex中，找到要分離的部分，點(diǎn)擊復(fù)制即可。

   使用場(chǎng)景：Windows下利用winhex程序?qū)ξ募M(jìn)行手動(dòng)分離

5. 010Editor

   將某塊區(qū)域文件保存的方式如下：

   1. 010Editor打開(kāi)文件 -> 選中右鍵 -> Selection -> Save Selection

   將16進(jìn)制字符文件導(dǎo)入保存操作方法如下：

   1. 將16進(jìn)制字符文件保存在一個(gè)文件
   2. 打開(kāi)010Editor import Hex
   3. 另存為一個(gè)文件，后綴名以010Editor獲取到它本身文件信息而定

文件合并操作

1. Linux下的文件合并

   使用場(chǎng)景：Linux下，通常對(duì)文件名相似的文件要進(jìn)行批量合并

   格式：cat 合并的文件 > 輸出的文件

   完整性檢測(cè)：Linux下計(jì)算文件md5：

   md5sum 文件名

2. Windows下的文件合并

   使用場(chǎng)景：Windows下，通常要對(duì)文件 名相似的文件進(jìn)行批量合并

   格式：copy /B 合并的文件 輸出的文件命令

   完整性檢測(cè)：Windows下計(jì)算文件md5：

   certutil -hashfiel 文件名 md5

文件內(nèi)容隱寫

文件內(nèi)容隱寫，就是直接將KEY以十六進(jìn)制的形式寫在文件中，通常在文件的開(kāi)頭或結(jié)尾部分，分析時(shí)通常重點(diǎn)觀察文件開(kāi)頭和結(jié)尾部分。如果在文件中間部分，通常搜索關(guān)鍵字KEY或者flag來(lái)查找隱藏內(nèi)容。

使用場(chǎng)景：Windows下，搜索隱寫的文件內(nèi)容

1. winhex/010Editor

   通常將識(shí)別的文件拖入winhex中，查找具有關(guān)鍵字或明顯與文件不和諧的部分，通常優(yōu)先觀察文件首部和尾部，搜索flag或key等關(guān)鍵字，最后拖動(dòng)滾輪尋找。

2. Notepad++

   使用Notepad++打開(kāi)文件，查看文件頭尾是否有含有關(guān)鍵字的字符串，搜索flag或key等關(guān)鍵字，最后拖動(dòng)滾輪尋找。

   另外通過(guò)安裝插件HEX-Editor可以實(shí)現(xiàn)winhex的功能

圖片隱寫術(shù)

圖片隱寫的常見(jiàn)隱寫方法

1. 細(xì)微的顏色差別
2. GIF圖多幀隱藏
   1. 顏色通道隱藏
   2. 不同幀圖信息隱藏
   3. 不同幀對(duì)比隱寫
3. Exif信息隱藏
4. 圖片修復(fù)
   1. 圖片頭修復(fù)
   2. 圖片尾修復(fù)
   3. CRC校驗(yàn)修復(fù)
   4. 長(zhǎng)、寬、高度修復(fù)
5. 最低有效位LSB隱寫
6. 圖片加密
   1. Stedetect
   2. outguess
   3. F5

圖片文件隱寫

1. Firework

   使用winhex打開(kāi)文件時(shí)會(huì)看到文件頭部中包含firework的標(biāo)識(shí)，通過(guò)firework可以找到隱藏圖片。

   使用場(chǎng)景：查看隱寫的圖片文件

2. Exif

   Exif按照J(rèn)PEG的規(guī)格在JPEG中插入一些圖像/數(shù)字相機(jī)的信息數(shù)據(jù)以及縮略圖像，可以通過(guò)與JPEG兼容的互聯(lián)瀏覽器/圖片瀏覽器/圖片處理等一些軟件來(lái)查看Exif格式的圖片文件，就跟瀏覽器通常JPEG圖像文件一樣。

   圖片右鍵屬性，查看Exif或查看詳細(xì)信息，在相關(guān)選項(xiàng)卡中看找flag信息。

   如果是Linux環(huán)境下，可以用exiftool工具，命令：exiftool 文件名（帶后綴名）

3. Stegsolve

   當(dāng)兩張圖片外觀、大小、像素都基本相同時(shí)，可以考慮進(jìn)行結(jié)合分析，即將兩個(gè)文件的像素RGB值進(jìn)行XOR、ADD、SUB等操作，看能否得到有用的信息，Stegsolve可以方便地進(jìn)行這些操作。

   使用場(chǎng)景：兩張圖片信息基本相同

   1. 打開(kāi)第一張圖片，點(diǎn)擊analyse -> Image combiner
   2. 在彈出的窗口中點(diǎn)擊左右按鈕選擇處理方式，點(diǎn)擊save保存有價(jià)值的結(jié)果

4. LSB（最低有效位Least Significant Bit)

   LSB替換隱寫基本思想是用嵌入的秘密信息取代載體圖像的最低特位，原來(lái)的7個(gè)高位平面與替代秘密信息的最低位平面組合成含有隱藏信息的新圖形。

   1. 像素三原色（RGB）

   2. 通過(guò)修改像素中最低位的1bit來(lái)達(dá)到隱藏的效果

   3. 工具：stegsolve、zsteg、wbstego4、python腳本

   4. Stegsolve.jar工具

      1. 打開(kāi)文件 -> Analyse -> Data Extract
      2. 調(diào)整Bit Plans，Bits Order，Bit Plane Order

   5. zsteg工具

      檢測(cè)LSB隱寫：

      命令：zsteg xxx.png

   6. wbstego4工具

      解密通過(guò)1sb加密的圖片

   7. python腳本來(lái)處理

      將目標(biāo)文件放在以下腳本目錄下，將腳本中的文件名修改為你的目標(biāo)文件名，運(yùn)行python腳本即可

      注：要在python2的環(huán)境運(yùn)行。

      #coding:utf-8
      import PIL.Image
      def foo():im = PIL.Image.open('01.bmp')  #將'01.bmp'修改為你的目標(biāo)文件名 im2 = im.copy()pix = im2.load()width,height = im2.sizefor x in xrange(0,width):for y in xrange(0,height):if pix[x.y]&0x1 == 0:pix[x,y] = 0else:pix[x,y] = 255im2.show()pass
      if __name__=='__main__':foo()print 'ok.'pass
      

5. TweakPNG

   TweakPNG是一款簡(jiǎn)單易用的PNG圖像瀏覽工具，它允許查看和修改一些PNG圖像文件的元信息存儲(chǔ)。

   使用場(chǎng)景：文件頭正常卻無(wú)法打開(kāi)文件，利用TweakPNG修CRC

   例：

   1. 當(dāng)PNG文件頭正常但無(wú)法打開(kāi)文件，可能是CRC校驗(yàn)出錯(cuò)，可以嘗試通過(guò)TweakPNG打開(kāi)PNG，會(huì)彈出校驗(yàn)錯(cuò)誤的提示，這里顯示CRC是fe1a5ab6，正確的是b0a7a9f1。打開(kāi)winhex搜索fe1a5ab6將其改為b0a7a9f1

      

   有時(shí)CRC沒(méi)有錯(cuò)誤，但是圖片的高度或者寬度發(fā)生了錯(cuò)誤，需要通過(guò)CRC計(jì)算出正確的高度或者寬度。

   

   #cooding:utf-8
   import binascii
   import struct
   crcbp = open("xxx.png","rb").read()  # 此處將'xxx.png'改成你的目標(biāo)文件名
   for i in range(1024):for j in range(1024):data = crcbp[12:16]+struct.pack('>i',i)+struct.pack('>i',j)+crcbp[24:29]crc32 = binascii.crc32(data)&0xffffffffif crc32 == 0x08ec7edb:  # 此處填上CRC值print i,jprint "hex".hex(i),hex(j)
   

6. Bftools

   bftools用于解密圖片信息

   使用場(chǎng)景：在Windows的cmd下，對(duì)加密過(guò)的圖片文件進(jìn)行解密

   格式：Bftools.exe decode braincopter 要解密的圖片名稱 -output 輸出文件名

   Bftools.exe run 上一步輸出的文件

   

7. SilentEye

   silenteye是一款可以將文字或者文件隱藏到圖片的解密工具。

   使用場(chǎng)景：Windows下打開(kāi)silentEye工具，對(duì)加密的圖片進(jìn)行解密

   例：

   1. 使用silentEye程序打開(kāi)目標(biāo)圖片，點(diǎn)擊image -> decode，點(diǎn)擊decode，可以查看隱藏文件，點(diǎn)擊保存即可

8. JPG圖像加密

   1. Stegdetect工具探測(cè)加密方式

      Stegdetect程序主要用于分析JPEG文件。因此用Stegdetect可以檢測(cè)到通過(guò)JSteg、JPHide、OutGuess、Invisble Secrets、F5、appendx和Camoutflage等這些隱寫工具隱藏的信息。

      Linux環(huán)境下命令：

      stegdetect xxx,jpg

      stegdetect -s 敏感度 xxx.jpgexi

   2. Jphide

      Jphide是基于最低有效位LSB的JPEG格式圖像隱寫算法。

      例：

      Stegdetect提示jphide加密時(shí)，可以用Jphs工具進(jìn)行解密，打開(kāi)jphswin.exe，使用open jpeg打開(kāi)圖片，點(diǎn)擊seek，輸入密碼和確認(rèn)密碼，在彈出文件框中選擇要保存的解密文件位置即可，結(jié)果保存成txt文件。

   3. Outguess

      Outguess一般用于解密文件信息

      使用場(chǎng)景：Stegdetect識(shí)別出來(lái)或者題目提示時(shí)outguess加密的圖片

      格式：outguess -r 要解密的文件名輸出結(jié)果文件名

   4. F5

      F5一般用于解密文件信息

      使用場(chǎng)景：Stegdetect識(shí)別出來(lái)是F5加密的圖片或題目提示是F5加密的圖片

      進(jìn)入F5-steganography_F5目錄，將圖片文件拷貝至該目錄下，從CMD進(jìn)入該目錄

      格式：Java Exrtact 要解密的文件名 -p 密碼

9. 二維碼處理

   1. 使用二維碼掃描工具CQR.exe打開(kāi)圖片，找到內(nèi)容字段
   2. 如果二維碼某個(gè)定位角被覆蓋了，該工具有時(shí)候也可以自動(dòng)識(shí)別，如果識(shí)別失敗，需要使用PS或畫圖工具將另外幾個(gè)角的定位符移動(dòng)到相應(yīng)的位置，補(bǔ)全二維碼。
   3. 如果某個(gè)二維碼的定位點(diǎn)中間是白色，可能被反色了，使用畫圖工具把顏色反色回來(lái)再掃描即可。# misc的基本解題思路(一)

misc的四大部分：

• 文件操作與隱寫
• 圖片隱寫術(shù)
• 壓縮文件處理
• 流量取證技術(shù)

文件操作與隱寫

文件類型識(shí)別

1. File命令

   當(dāng)文件沒(méi)有后綴名或者有后綴名而無(wú)法打開(kāi)時(shí)，根據(jù)識(shí)別出的文件類型來(lái)修改后綴名即可正常打開(kāi)文件。

   使用場(chǎng)景：不知道后綴名，無(wú)法打開(kāi)文件

   Linux環(huán)境下命令格式：file+文件名

2. winhex

   通過(guò)winhex程序中可以查看文件頭類型，根據(jù)頭類型判斷文件類型

   使用場(chǎng)景：windows下通過(guò)文件頭信息判斷文件類型

常見(jiàn)的文件頭類型如下：

文件類型	文件頭
JPEG(jpg)	FFD8FFE1
PNG(png)	89504E47
GIF(gif)	47494638
TIFF(tiff)	49492A00
Windows Bitmap(bmp)	424DC001
ZIP Archive(ZIP)	504B0304
RAR Archive(rar)	52617221
Adobe Photshop(psd)	38425053
Rich Text Format(rtf)	7B5C727466
XML(xml)	3C3F786D6C
HTML(html)	68746D6C3E
Adobe Acrobat(pdf)	255044462D312E
Wave(wav)	57415645
pacp	4D3C2B1A

3. 文件頭殘缺/錯(cuò)誤

   通常文件無(wú)法正常打開(kāi)有兩種情況，一種文件頭部殘缺，另一種頭部字段錯(cuò)誤。針對(duì)文件頭部殘缺的情況，使用winhex程序添加相應(yīng)的文件頭，針對(duì)頭部字段錯(cuò)誤，可以找一個(gè)相同類型的文件進(jìn)行替換。

   使用場(chǎng)景：文件頭部殘缺或文件頭部字段錯(cuò)誤無(wú)法打開(kāi)正常文件

   格式：file 文件名

   

文件分離操作

1. Binwalk工具

   Binwalk工具是Linux下用來(lái)分析和分離文件的工具，可以快速分辨文件是否由多個(gè)文件合并而成，并將文件進(jìn)行分離。如果分離成功會(huì)在目標(biāo)文件的目錄。

   同目錄下生成一個(gè)形如_文件名_extracted的文件目錄，目錄中有分離后的文件。

   用法：

   分析文件：binwalk filename

   分離文件：binwalk -e filename

   注：binwalk遇到壓縮包會(huì)自動(dòng)解壓。

2. formost

   如果binwalk無(wú)法正確分離文件，可以使用foremost，將目標(biāo)文件復(fù)制到kali中，成功執(zhí)行后，會(huì)在目標(biāo)文件的文件目錄下生成我們?cè)O(shè)置的目錄，目錄中會(huì)按文件類型分離出文件。

   用法：

   foremost 文件名 -o 輸出目錄名

3. dd

   當(dāng)文件自動(dòng)分離出錯(cuò)或者因?yàn)槠渌驘o(wú)法自動(dòng)分離時(shí)，可以使用dd實(shí)現(xiàn)文件手動(dòng)分離。

   格式：dd if=源文件 of=目標(biāo)文件名 bs=1 skip=開(kāi)始分離的字節(jié)數(shù)

   參數(shù)說(shuō)明：

   if=file #輸入文件名，缺省為標(biāo)準(zhǔn)輸入

   of=file #輸出文件名，缺省為標(biāo)準(zhǔn)輸出

   bs=bytes #同時(shí)設(shè)置讀寫塊的大小為bytes，可代替ibs和obs

   skip=blocks #從輸入文件開(kāi)頭跳過(guò)blocks個(gè)塊后再開(kāi)始復(fù)制

4. Winhex

   除了使用dd外，還可以使用winhex實(shí)現(xiàn)文件手動(dòng)分離，將目標(biāo)文件拖入問(wèn)winhex中，找到要分離的部分，點(diǎn)擊復(fù)制即可。

   使用場(chǎng)景：Windows下利用winhex程序?qū)ξ募M(jìn)行手動(dòng)分離

5. 010Editor

   將某塊區(qū)域文件保存的方式如下：

   1. 010Editor打開(kāi)文件 -> 選中右鍵 -> Selection -> Save Selection

   將16進(jìn)制字符文件導(dǎo)入保存操作方法如下：

   1. 將16進(jìn)制字符文件保存在一個(gè)文件
   2. 打開(kāi)010Editor import Hex
   3. 另存為一個(gè)文件，后綴名以010Editor獲取到它本身文件信息而定

文件合并操作

1. Linux下的文件合并

   使用場(chǎng)景：Linux下，通常對(duì)文件名相似的文件要進(jìn)行批量合并

   格式：cat 合并的文件 > 輸出的文件

   完整性檢測(cè)：Linux下計(jì)算文件md5：

   md5sum 文件名

2. Windows下的文件合并

   使用場(chǎng)景：Windows下，通常要對(duì)文件 名相似的文件進(jìn)行批量合并

   格式：copy /B 合并的文件 輸出的文件命令

   完整性檢測(cè)：Windows下計(jì)算文件md5：

   certutil -hashfiel 文件名 md5

文件內(nèi)容隱寫

文件內(nèi)容隱寫，就是直接將KEY以十六進(jìn)制的形式寫在文件中，通常在文件的開(kāi)頭或結(jié)尾部分，分析時(shí)通常重點(diǎn)觀察文件開(kāi)頭和結(jié)尾部分。如果在文件中間部分，通常搜索關(guān)鍵字KEY或者flag來(lái)查找隱藏內(nèi)容。

使用場(chǎng)景：Windows下，搜索隱寫的文件內(nèi)容

1. winhex/010Editor

   通常將識(shí)別的文件拖入winhex中，查找具有關(guān)鍵字或明顯與文件不和諧的部分，通常優(yōu)先觀察文件首部和尾部，搜索flag或key等關(guān)鍵字，最后拖動(dòng)滾輪尋找。

2. Notepad++

   使用Notepad++打開(kāi)文件，查看文件頭尾是否有含有關(guān)鍵字的字符串，搜索flag或key等關(guān)鍵字，最后拖動(dòng)滾輪尋找。

   另外通過(guò)安裝插件HEX-Editor可以實(shí)現(xiàn)winhex的功能

圖片隱寫術(shù)

圖片隱寫的常見(jiàn)隱寫方法

1. 細(xì)微的顏色差別
2. GIF圖多幀隱藏
   1. 顏色通道隱藏
   2. 不同幀圖信息隱藏
   3. 不同幀對(duì)比隱寫
3. Exif信息隱藏
4. 圖片修復(fù)
   1. 圖片頭修復(fù)
   2. 圖片尾修復(fù)
   3. CRC校驗(yàn)修復(fù)
   4. 長(zhǎng)、寬、高度修復(fù)
5. 最低有效位LSB隱寫
6. 圖片加密
   1. Stedetect
   2. outguess
   3. F5

圖片文件隱寫

1. Firework

   使用winhex打開(kāi)文件時(shí)會(huì)看到文件頭部中包含firework的標(biāo)識(shí)，通過(guò)firework可以找到隱藏圖片。

   使用場(chǎng)景：查看隱寫的圖片文件

2. Exif

   Exif按照J(rèn)PEG的規(guī)格在JPEG中插入一些圖像/數(shù)字相機(jī)的信息數(shù)據(jù)以及縮略圖像，可以通過(guò)與JPEG兼容的互聯(lián)瀏覽器/圖片瀏覽器/圖片處理等一些軟件來(lái)查看Exif格式的圖片文件，就跟瀏覽器通常JPEG圖像文件一樣。

   圖片右鍵屬性，查看Exif或查看詳細(xì)信息，在相關(guān)選項(xiàng)卡中看找flag信息。

   如果是Linux環(huán)境下，可以用exiftool工具，命令：exiftool 文件名（帶后綴名）

3. Stegsolve

   當(dāng)兩張圖片外觀、大小、像素都基本相同時(shí)，可以考慮進(jìn)行結(jié)合分析，即將兩個(gè)文件的像素RGB值進(jìn)行XOR、ADD、SUB等操作，看能否得到有用的信息，Stegsolve可以方便地進(jìn)行這些操作。

   使用場(chǎng)景：兩張圖片信息基本相同

   1. 打開(kāi)第一張圖片，點(diǎn)擊analyse -> Image combiner
   2. 在彈出的窗口中點(diǎn)擊左右按鈕選擇處理方式，點(diǎn)擊save保存有價(jià)值的結(jié)果

4. LSB（最低有效位Least Significant Bit)

   LSB替換隱寫基本思想是用嵌入的秘密信息取代載體圖像的最低特位，原來(lái)的7個(gè)高位平面與替代秘密信息的最低位平面組合成含有隱藏信息的新圖形。

   1. 像素三原色（RGB）

   2. 通過(guò)修改像素中最低位的1bit來(lái)達(dá)到隱藏的效果

   3. 工具：stegsolve、zsteg、wbstego4、python腳本

   4. Stegsolve.jar工具

      1. 打開(kāi)文件 -> Analyse -> Data Extract
      2. 調(diào)整Bit Plans，Bits Order，Bit Plane Order

   5. zsteg工具

      檢測(cè)LSB隱寫：

      命令：zsteg xxx.png

   6. wbstego4工具

      解密通過(guò)1sb加密的圖片

   7. python腳本來(lái)處理

      將目標(biāo)文件放在以下腳本目錄下，將腳本中的文件名修改為你的目標(biāo)文件名，運(yùn)行python腳本即可

      注：要在python2的環(huán)境運(yùn)行。

      #coding:utf-8
      import PIL.Image
      def foo():im = PIL.Image.open('01.bmp')  #將'01.bmp'修改為你的目標(biāo)文件名 im2 = im.copy()pix = im2.load()width,height = im2.sizefor x in xrange(0,width):for y in xrange(0,height):if pix[x.y]&0x1 == 0:pix[x,y] = 0else:pix[x,y] = 255im2.show()pass
      if __name__=='__main__':foo()print 'ok.'pass
      

5. TweakPNG

   TweakPNG是一款簡(jiǎn)單易用的PNG圖像瀏覽工具，它允許查看和修改一些PNG圖像文件的元信息存儲(chǔ)。

   使用場(chǎng)景：文件頭正常卻無(wú)法打開(kāi)文件，利用TweakPNG修CRC

   例：

   1. 當(dāng)PNG文件頭正常但無(wú)法打開(kāi)文件，可能是CRC校驗(yàn)出錯(cuò)，可以嘗試通過(guò)TweakPNG打開(kāi)PNG，會(huì)彈出校驗(yàn)錯(cuò)誤的提示，這里顯示CRC是fe1a5ab6，正確的是b0a7a9f1。打開(kāi)winhex搜索fe1a5ab6將其改為b0a7a9f1

      

   有時(shí)CRC沒(méi)有錯(cuò)誤，但是圖片的高度或者寬度發(fā)生了錯(cuò)誤，需要通過(guò)CRC計(jì)算出正確的高度或者寬度。

   

   #cooding:utf-8
   import binascii
   import struct
   crcbp = open("xxx.png","rb").read()  # 此處將'xxx.png'改成你的目標(biāo)文件名
   for i in range(1024):for j in range(1024):data = crcbp[12:16]+struct.pack('>i',i)+struct.pack('>i',j)+crcbp[24:29]crc32 = binascii.crc32(data)&0xffffffffif crc32 == 0x08ec7edb:  # 此處填上CRC值print i,jprint "hex".hex(i),hex(j)
   

6. Bftools

   bftools用于解密圖片信息

   使用場(chǎng)景：在Windows的cmd下，對(duì)加密過(guò)的圖片文件進(jìn)行解密

   格式：Bftools.exe decode braincopter 要解密的圖片名稱 -output 輸出文件名

   Bftools.exe run 上一步輸出的文件

   

7. SilentEye

   silenteye是一款可以將文字或者文件隱藏到圖片的解密工具。

   使用場(chǎng)景：Windows下打開(kāi)silentEye工具，對(duì)加密的圖片進(jìn)行解密

   例：

   1. 使用silentEye程序打開(kāi)目標(biāo)圖片，點(diǎn)擊image -> decode，點(diǎn)擊decode，可以查看隱藏文件，點(diǎn)擊保存即可

8. JPG圖像加密

   1. Stegdetect工具探測(cè)加密方式

      Stegdetect程序主要用于分析JPEG文件。因此用Stegdetect可以檢測(cè)到通過(guò)JSteg、JPHide、OutGuess、Invisble Secrets、F5、appendx和Camoutflage等這些隱寫工具隱藏的信息。

      Linux環(huán)境下命令：

      stegdetect xxx,jpg

      stegdetect -s 敏感度 xxx.jpgexi

   2. Jphide

      Jphide是基于最低有效位LSB的JPEG格式圖像隱寫算法。

      例：

      Stegdetect提示jphide加密時(shí)，可以用Jphs工具進(jìn)行解密，打開(kāi)jphswin.exe，使用open jpeg打開(kāi)圖片，點(diǎn)擊seek，輸入密碼和確認(rèn)密碼，在彈出文件框中選擇要保存的解密文件位置即可，結(jié)果保存成txt文件。

   3. Outguess

      Outguess一般用于解密文件信息

      使用場(chǎng)景：Stegdetect識(shí)別出來(lái)或者題目提示時(shí)outguess加密的圖片

      格式：outguess -r 要解密的文件名輸出結(jié)果文件名

   4. F5

      F5一般用于解密文件信息

      使用場(chǎng)景：Stegdetect識(shí)別出來(lái)是F5加密的圖片或題目提示是F5加密的圖片

      進(jìn)入F5-steganography_F5目錄，將圖片文件拷貝至該目錄下，從CMD進(jìn)入該目錄

      格式：Java Exrtact 要解密的文件名 -p 密碼

9. 二維碼處理

   1. 使用二維碼掃描工具CQR.exe打開(kāi)圖片，找到內(nèi)容字段
   2. 如果二維碼某個(gè)定位角被覆蓋了，該工具有時(shí)候也可以自動(dòng)識(shí)別，如果識(shí)別失敗，需要使用PS或畫圖工具將另外幾個(gè)角的定位符移動(dòng)到相應(yīng)的位置，補(bǔ)全二維碼。
   3. 如果某個(gè)二維碼的定位點(diǎn)中間是白色，可能被反色了，使用畫圖工具把顏色反色回來(lái)再掃描即可。