MISC杂项解题思路

首先拿到一个杂项的附件 第一步要判断 是什么类型的杂项题目 附件是什么内容 是图片？ 是压缩包？ 是磁盘文件？ 还是其他未知的东西
第一步的判断能够直接将解题思路精准定位到正确的区域下 加快解题速度

本文只是对思路的一个拓展 不包含实际操作
台上一分钟 台下十年功 拓展思路去不断的刷题才是提升水平的捷径

1.判断文件类型

（1）kali命令 （适用于文件没有后缀名 不知道文件类型的情况下）

 file 文件名

（2）winhex和010

通过查看文件头 判断文件类型

2.文件头部残缺

需要修复 修复操作包括但不限于

文件头补充完整 文件分离（推荐binwalk） 文件合并 

图片类

1.细微的颜色差别

肉眼看不出 需要用工具去分析

2.GIF图多帧隐藏

（注意firework标识 这也是工具）

（1）颜色通道隐藏

（2）不同帧图信息隐藏

（3）不同帧对比隐写

在线可用网址
https://tu.sioe.cn/gj/fenjie/

3.Exif信息隐藏

（也可以右击图片 属性中详细信息查找有无隐藏信息）

可以用EXIF元数据编辑器打开

4.图片修复

（1）图片头修复
（2）图片尾修复
（3）CRC校验修复
（4）长宽高修复

5.最低有效位LSB隐写

用嵌入的秘密信息取代载体图像的最低比特位 原来的7个高位屏幕与替代秘密信息的最低位平面组合成含隐藏信息的新图形

（1）像素三原色（RGB）
（2）通过修改像素中的最低位的1bit来达到隐藏的效果（很喜欢考 经常出现！！！）
（3）工具：stegsolve zsteg（linux） wbstego4（pdf也可以做 针对bmp较多） python脚本

6.图片加密

（1）Stegdetect
（2）outguess（linux）
（3）Jphide
（4）F5（windows）

Stegsolve
当两张jpg图片外观 大小 像素都基本相同时 可以将两个文件像素RGB值进行XOR（异或） ADD(加) SUB（减）等操作 看能否得到有用的信息

TweakPNG
允许查看和修改一些PNG图像文件的元信息存储
使用场景：文件头正常却无法打开文件，利用TweakPNG修改CRC

Bftools
用于解密图片信息
使用场景：在windows的cmd下 对加密过的图片文件进行解密
格式
Bftools.exe decode braincopter 要解密的图片名称 -output 输出文件名
Bftools.exe run 上一步输出的文件

SilentEye
图片隐写工具

7.图片宽高篡改

十六进制数值的图片宽高被篡改 需要修改
图片宽高脚本修改：修改文件名 修改crc值

8.二维码处理

QR_Research
如果识别失败 需要用PS或者画图工具将另外几个角的定位符移动到相应位置 补全二维码
如果二维码定位点中间是白色的 可能被反色了 使用画图工具把颜色反色回来再扫描

9.snow隐写

cmd下运行 需要密文和需要解密数据

文件类

伪加密

如果压缩文件是加密的，但文件头正常但解压缩错误，首先尝试文件是否为伪加密
（1）zip文件
zip文件是否加密是通过标识符来显示的，在每个文件的文件目录字段有一位专门设置了文件是否加密，将其设置为00表示该文件未加密
如果成功解压表示文件为伪加密 解压出错说明文件为真加密

如何寻找

1.找到第二个全局方式位标记的50 4B  也就是从头往后输第二个50 4B
2.从50开始 50算第一位 
3.往后数的第九位和第十位 
4.如果是偶数 则不是伪加密 如果是奇数 则是伪加密

（2）rar文件
RAR文件由于有头部校验，使用伪加密是打开文件会出现报错，使用winhex修改标志位后如果报错消失且正常解压 说明是伪加密

如何寻找

使用winhex打开  找到第24个字节（7列往下数第2行） 该字节尾数为4表示加密 0表示无加密 将尾数改为0即可破解伪加密

暴力破解

ARCHPR

攻击类型分为 暴力 字典 明文 掩码等

暴力和字典就不说了 很简单

1.两个文件 明文攻击

2.掩码

攻击类型选择掩码 可以进行复杂的暴力破解

比如知道密码前3位是asd，后3位为数字，则在攻击类型中选择掩码，在掩码处输入asd？？？ ，暴力范围选项中选择所有的数字，打开要破解的点击。此时？？？部分会被数字代替

磁盘取证

如果文件类型是VMDK 直接用vmware挂载

AccessData FTK Imager 常用的取证工具

Diskgenius可以用来数据恢复

Veracrypt用来对加密的磁盘挂载