随笔分类 - CTF-Misc
volatility2指令
摘要:1、检查该内存镜像操作系统(服务号/32/64)、获取时间 volatility -f mem.vmem imageinfo 2、列出该内存的所有进程信息 volatility -f mem.vmem --profile=xx pslist 提取出进程的文件 volatility -f mem.vm
图片隐写快解
摘要:1.把图片拖到随波逐流,binwalk显示多个文件直接分离出其他文件,同时看文件有没有自带flag 2.分析不出再用stegsolve 2.1 gif文件用Frame Browser找隐藏 2.2 选择Data找LSB 2.3 选用滤镜找隐藏点 3.用blindwatermark看图片是否存在盲水印
图片隐写的几大思考方向
摘要:一、看文件类型 特别是gif文件,可以用stegsolve的Frame Browser逐帧查找看有无flag线索 题目链接:https://buuoj.cn/challenges#/金三胖 二、想这几个方向 (1)Stegsolve方向 对应方向:LSB、滤镜查找 ①LSB 1.选Analyse/D
常见文件头、文件尾
摘要:1、图片 名称 文件头 文件尾 JPEG FFD8FF FFD9 PNG 89504E470D0A1A0A AE426082 GIF 4749463839(37)61 003B BMP 424D 文件头标识(2bytes)42(B)4D(M) TIFF (tif) 49492A00 Ico 0000
zip文件结构及真/伪加密解决
摘要:数据存储区:能够直观地看出被压缩文件的文件名(flag.txt)、文件 内容(flag{abcdefg})、是否被加密等信息 中心目录区:判断是否伪加密 zip无加密:数据存储区的第六个字节和中心目录区的第九个字节都为00 zip真加密:数据存储区的第六个字节和中心目录区的第九个字节都为09 zip
misc长宽高爆破
摘要:png文件结构 ①:IHDR(文件头数据块) 包含存储图片数据的基本信息,一个png文件只能有一个IHDR ②:IDAT(图像数据块) 存放图片真正的数据信息(可以有多个,正常情况下必须把上一个填 满才能填下一个,不正常大概率就是有隐写了) ③:IEND(图像结束数据) 标记png文件或者数据流的结
