MISC
Recon
- 信息搜集
- 社工(可通过喜欢的妹子练习,#滑稽)
Encode
编码解码以及相互间的转换
- Bin(二进制)
- Dec(十进制)
- Hex(十六进制)
- 条形码
- 二维码
- Base全家桶:
- Base64 –> Base编码图片
- Base32
- Base16
- URL 编码
- ASCII编码
- 摩尔斯编码
- 曼彻斯特编码/差分曼彻斯特
二进制编码的MISC
- Morse(音频中的Morse)
- ASCII (7 or 8 bit)
- QR code (长度为平方数)
- 字符画的转换(因数分解)
Base64
- 包含的字符 A-Za-z0-9+/=
- 编码原理,ASCII -> 8bit,单位为 3*8bit,不足填充0,转化为 4*6 bit,对照表转码
- Base64隐写
图形码
- 条形码
- 宽度不等的多个黑条和空白,按照一定的编码规则排列,用以表达一组信息的图形标识符, 国际标准–EAN-13: 商品条码标准,13位数字–Code-39: 39字符– Code-128: 128字符
- 二维码补全
CTF中的编码 链接
- 就tm是密码学
- 混淆加密
- asp混淆加密
- php混淆加密
- css/js混淆加密
- VBScript.Encode混淆加密
工具小结
- 编码网站
- JPK
- Shell
- Python
我还是对Linux一无所知
Forensic && Steg
常见的取证对象
- PCAP流量包分析:
- 普通的网络流量(最为常见)
- 蓝牙数据包
- USB数据包(鼠标,键盘数据包)
- …
- XNUCA的投影仪数据包
- 各种图片文件:JPG PNG
- 音频,视频:MP3,WAV,AVI
- 压缩包:RAR,ZIP,7z
- 磁盘文件:img
- 内存镜像
- PDF,WORD…
综述
- 目的一般为发现文件中包含的隐藏字符串(代表需要取证的机密信息)
- 通常夹杂着文件修复
- 这些搜寻的字符串常常又与隐写加密结合在一起
- 对文件中的特殊编码要有一定的敏感度
- 对文件16进制的熟悉
前置技能
- Encode
- Base64
- Hex
- Bin
- Python / PHP is the best programming language.
- 字符串处理
- 二进制数据处理
- 文件处理
- ZIP
- PNG
- PCAP
- 网络编程
- File Format
- Tools
- File: 用来鉴定文件类型
- Windows trid.exe
- Strings: 查看文件中可见字符串,一般用来找到hint
- Binwalk,foremost: 用于分析文件,自动切割文件
- Winhex,010Editor: 16进制文件编辑器
- Grep,awk: 关键信息检索提取
- File: 用来鉴定文件类型
JPG
- 标记码 + 压缩数据
- 标记码: 由两个字节构成,第一个字节是固定值0xFF,后一个字节则根据不同意义有不同数值
- 压缩数据:前两个字节保存整个段的长度,包括这两个字节
- 利用文件格式隐藏信息
- 插入法:
- 文件尾部插入
- 储存在APP1数据区中
- MagicEXIF
- 每段开始前:
- COM注释:
- FF 开始标记
- FE COM注释标记符
- 00 02 总长度
- 11 内容
- 文件尾部插入
- 插入法:
- 检测隐写的工具 stegdetect
- -t 设置要检测哪些隐写工具(默认检测jopi),可设置的选项如下:
- -j 检测图像中的信息是否是用jsteg嵌入的。
- -o 检测图像中的信息是否是用outguess嵌入的。
- -p 检测图像中的信息是否是用jphide嵌入的。
- -i 检测图像中的信息是否是用invisible secrets嵌入的。
GIF
- 在线编辑器
- Identify
PNG
PNG文件格式
- PNG文件署名域 + 标准数据块 ( + 辅助数据块)
- 文件署名: 89 50 4e 47 0d 0a 1a 0a
| 名称 | 字符数 | 含义 |
|---|---|---|
| Length | 4字节 | 数据域长度 |
| Chunk Type Code | 4字节 | A-Za-z组成 |
| Chunk Data | 可变 | 数据 |
| CRC | 4字节 | 循环冗余码 |
- 标准数据块
- 文件头数据块IHDR:
- 图像数据的基本信息
- png数据流中第一个出现仅有一个
- 调色板数据块PLTE:
- 索引彩色图像有关
- 需要在IDAT块之前
- 标准数据块:
- 图像数据块IDAT
- 实际的图像数据,可多个连续
- 图像结束数据:
- IEND
-
文件结束00 00 00 00 49 45 4E 44 AE 42 60 821
- IHDR在最前,IEND在最后,其余数据块随意放置
- 文件头数据块IHDR:
- 辅助数据块: PNG文件格式规范制定的10个辅助数据块是:
- 背景颜色数据块bKGD(background color)。
- 基色和白色度数据块cHRM(primary chromaticities and white point)。所谓白色度是指当R=G=B=最大值时在显示器上产生的白色度。
- 图像γ数据块gAMA(image gamma)。
- 图像直方图数据块hIST(image histogram)。
- 物理像素尺寸数据块pHYs(physical pixel dimensions)。
- 样本有效位数据块sBIT(significant bits)。
- 文本信息数据块tEXt(textual data)。
- 图像最后修改时间数据块tIME (image last-modification time)。
- 图像透明数据块tRNS (transparency)。
- 压缩文本数据块zTXt (compressed textual data)
- 数据块
音频类
- Adobe audition/Audacity处理频谱与波形
- 频谱
- 波形
- other
压缩包
ZIP 文件格式
- 组成
- 压缩源文件数据区
- 文件头+ 文件数据+ 数据描述符
- 记录所有压缩文件的内容信息
- 压缩源文件目录区
- 每个压缩目录元数据对应原来的一个目录
- 压缩源文件目录结束标志
- 标记压缩的目录数据的结束
- 压缩源文件数据区
- 攻击
- 爆破
- CRC32
- 明文攻击
流量分析
- 文件修复: pcapfix
- 协议分析: wireshark
- 数据提取: tshark
内存文件
- 确定内存结构
- 查看进程列表
- 根据题目,寻找相关进程,dump目标进程的内存数据进行分析
Take a look
- Pyc文件
- Python 沙箱
- word, pdf
- 磁盘文件,系统镜像
- 文件恢复,取证工具:EasyRecovery、FTK,TSK(The Sleuth Kit)
- 常见格式:dd,img,raw
- 磁盘数据:文件系统层、数据层、inode层和文件层
- 文件系统层:了解磁盘分区的文件系统信息
- 数据层:包含了文件的真实内容
- inode层:数据存储单元与文件属性信息
- 文件层:文件的具体内容
