常用加密:base64、base32、MD5、字符串搜索解压密码
音频隐写
- 观察频谱图
- 放大波形,高位为1低位为0,转换ASCII
- MP3stego
- LSB(最低位有效)
- 摩斯电码
图片隐写
-
查看属性
-
检查标志(用hxd等文本编辑器打开),如果不正确修改恢复图像,未完全显示时候修改图像宽高使图像恢复完全;图像结束标志后加入数据
-
检查是否是多张图,binwalk
-
不影响图像效果情况下,修改像素数据,加入信息
-
利用隐写算法(F5、Guess等),只限于jpg
# png 89 50 4E 47 0D 0A 1A 0A:文件头标志 00 00 00 0D:表示IHDR头块长13 49 48 44 52:IHDR标识,ASCII码为IDHR XX XX XX XX:图像宽度,单位像素 XX XX XX XX:图像高度,单位像素 XX:图像色深,XX:颜色类型 00 00 00 XX XX XX:CRC校验位 00 00 00 00 49 45 4E 44 AE 42 60 82:文件尾标志 # gif 47 49 46 38 37/39 61:header入口,前三个是GIF,后三个是版本87a/89a 00 3B:文件尾标志,XX XX XX XX:图像渲染区域和宽高 XX:压缩字节,XX:背景色在全局颜色表索引,XX像素宽高比,多数0 P.S.需要分帧查看各帧组合数据是不是 # jpg FF D8 FF:文件头标志 FF D9:文件尾标志 # rar 52 61 72 21 1A 07 00:文件头标志 # zip ## 压缩源文件数据区
50 4B 03 04:文件头标识
14 00:解压所需pkware版本
00 00:全局方位标记(有无加密),只有第二个数字为奇数时候加密
08 00:压缩方式
XX XX:文件最后修改时间
XX XX:文件最后修改日期
XX XX XX XX:CRC32校验
压缩源文件目录区
50 4B 01 02:目录中文件头标记
3F 00:解压文件所需pkware版本
00 00:全局方式位标记(有无加密),真加密两个都是0900、假加密文件目录0900、不加密0000
## 常见套路
### strings工具使用
获取的编码通常需要base64等解码
```bash
-a # 扫描整个文件
-f # 显示字符串前先打印文件名
-t # 输出字符位置,odx
-e #选择字符大小和排列顺序
binwalk或者winhex16提取zip
binwalk file -e
选中头到尾,复制选块到新文件
MP3Stego
encode -E hidden_text.txt -P pass origin_sound output_sound.mp3
decode -X -P pass hidden_sound.mp3
常见文件头标志
| 文件名 | 头标志 |
|---|---|
| JPG | FF D8 FF E0 00/FF D8 FF FE 00 |
| GIF | 47 49 46 38 39 61/47 49 46 38 37 61 |
| BMP | 42 4D |
| ZIP | 50 4B 03 04/05 |
| GZ | 1F 8B 08 |
| ICO | 00 00 01 00 00/100 |
| 25 50 44 46 2D 31 2E | |
| JAR | 5F 27 A8 89 |
| HTML1 | 3C 68 74 6D 6C 3E |
| HTML2 | 3C 48 54 4D 4C 3E |
| HTML3 | 3C 21 44 4F 43 54 |
| MIDI | 4D 54 68 64 |
| MPEG | 00 00 01 B3/BA |
| PNG | 89 50 4E 47 0D 0A |
| RAR | 52 61 72 21 |
| RPM | ED AB EE DB |
| XML | 3C 3F 78 6D 6C |
| TIFF | 49 49 2A 00 |
| PSD | 38 42 50 53 |
| RTF | 7B 5C 72 74 66 |
| DocXls | D0 CF 11 E0 |
| WAV | 57 41 56 45 |
| AVI | 41 56 49 20 |
| MOV | 4D 54 68 64 |
| DWG | 41 43 31 30 |