附加式图片隐写之图种形式隐写 应对策略
图种: 一种采用特殊方式将图片文件(如jpg格式)与rar文件结合起来的文件。该文件一般保存为jpg格式,可以正常显示图片,当有人获取该图片后,可以修改文件的后缀名,将图片改为rar压缩文件,并得到其中的数据。 图种这是一种以图片文件为载体,通常为jpg格式的图片,然后将zip等压缩包文件附加在图片文件后面。因为操作系统识别的过程中是,从文件头标志,到文件的结束标志位,当系统识别到图片的结束标志位后,默认是不再继续识别的,所以我们在通常情况下只能看到它是只是一张图片。
foremost工具
这类题型最简单的方法在于工具分离。网上给出最多的工具是binwalk,但是我配置不成功,因此转用foremost工具,其下载链接为https://github.com/raddyfiy/foremost
可以将解压包的binary文件夹里的前两个文件单独拿出来使用
首先将要分离的文件置于此文件夹中
然后打开命令行,执行下列命令
可以看到,出现结果
进入文件夹,audit.txt是解析详情,可以看出我们的图片被解析成了两个文件
flag就在zip文件里
结果发现需要密码,根据提示需要4位数字暴力破解
使用工具暴力破解之后可以得到密码(后续会介绍)
打开zip可以得到flag
010Editor解析
010Editor打开文件
我们需要知道的是png文件的文件尾的标志AE 42 60 82
(
查询之后发现后面还有内容50 4B 03 04,这是zip文件头
新建一个16进制文件
选中zip文件部分信息粘贴过去
