1. Esteganografía
(1) Esteganografía de imagen
-
Herramienta de diferencias de color sutiles (píxeles de tres colores primarios RGB): stegsolve
-
Herramientas para ocultar GIF de fotogramas múltiples: stegsolve, Photoshop, fuegos artificiales
(1) Ocultación del canal de color
(2) Ocultar información en diferentes marcos
(3) Comparación y ocultación de diferentes fotogramas.
-
Herramienta para ocultar información Exif: haga clic derecho en Windows para abrir las propiedades de la imagen
-
Herramienta de reparación de imágenes winhex.
(1) Reparación del encabezado de la imagen
(2) Reparación de cola de imagen
(3) Reparación de verificación CRC
(4) Reparación de largo, ancho y alto.
-
Herramientas de esteganografía LSB de bit menos significativo: stegsolve, zsteg, wbstego4
-
Cifrado de imágenes Stegdetect supera a Jphide F5
(1) comando de archivo
El archivo no conoce el sufijo , o el archivo no se puede abrir si tiene un sufijo . Modifique el sufijo del archivo de acuerdo con el tipo de archivo reconocido y el archivo se podrá abrir normalmente.
file myheart
file filejpj
(2)winhex
Verifique el tipo de encabezado del archivo e infiera el encabezado y el final del archivo según el encabezado del archivo.
Tipo de archivo | encabezado de archivo | fin del documento | característica |
---|---|---|---|
JPEG (jpg) | FFD8FF | FF D9 | ÿØÿà |
PNG (png) | 89504E47 | AE42 60 82 | .PNG... |
GIF (gif) | 47494638 | 00 3B | GIF89a |
Archivo ZIP (zip) | 504B0304 | 50 4B | PAQUETE.. |
(3)análisis zstegi
zsteg pic -a #查看它的所有的可用组合
zsteg -E 组合名 oldpicname newpicname #重新组合
(4)stegsolver
(1) Cuando la apariencia, el tamaño y los píxeles de dos imágenes jpg son básicamente los mismos, puede considerar el análisis combinado, es decir, realizar operaciones XOR, ADD y SUM en las dos imágenes.
Imagen Combinar con
(2) Esteganografía LSB de imagen
Extracto de datos
(5) secuencia de comandos de Python
LSB.py
import PIL.Image
def foo():
im=PIL.Image.open("文件路径")
im2=im.copy()
pix=im2.load()
width,height=im2.size
for x in xrange(0,width):
for y in xrange(0,height):
if pix[x,y]&0x1==1:
pix[x,y]=0
else:
pix[x,y]=255
im2.show()
pass
if __name__='__main__':
foo()
print('ok')
pass
(6)AjustarPNG
Herramienta de exploración de gráficos PNG. Cuando el encabezado del archivo es normal pero no se puede abrir, puede ser un error de verificación CRC . Puede intentar abrirlo a través de TweakPNG.
(2) Esteganografía de audio
-
La información está oculta en sonidos o datos.
-
Herramientas: MP3stego, Audition, Matlab
(3) Esteganografía de vídeo
-
El archivo está oculto en uno o más fotogramas del vídeo.
-
Herramientas: Estreno, VideoStudio,
(4) Separación de archivos
-
Herramientas: binwalk, dd, Foreignmost, Winhex
chmod 777 picture.png otorga el máximo permiso a la imagen
Uso de herramientas
(1) herramienta binwalk
Binwalk es una herramienta utilizada para analizar y separar archivos en Linux. Puede identificar rápidamente si un archivo está compuesto de varios archivos y separarlos.
binwalk filename #分析文件
binwalk -e filename #分离文件
(2) herramientas más importantes i
Si binwalk no puede separar el archivo , puede usar binwalk para copiar el archivo de destino a kali. Después de una ejecución exitosa, el directorio que configuramos se generará en el directorio de archivos del archivo de destino y los archivos se separarán según el tipo de archivo en El directorio.
foremost filename -o #输出目录名
(3) dd separa i
Cuando la separación automática de archivos falla o no se puede separar automáticamente por otros motivos, puede usar dd para separar los archivos manualmente .
dd if=源文件 of=目标文件名 bs=1 skip=开始分离的字节数
if=archivo #Ingrese el nombre del archivo
of=archivo #Nombre del archivo de salida
bs=bytes #Establezca el tamaño del bloque de lectura y escritura en bytes al mismo tiempo, lo que puede reemplazar ibs y obs
skip=blocks#Omitir bloques desde el principio del archivo de entrada antes de comenzar a copiar
(5) Fusión de archivos
Uso de herramientas
(1) fusión de gatos
cat 合并的文件 > 输出的文件
cat chap1 chap2 chap3 chap4 > 1.txt
(2)copiar fusión
copy /B 合并的文件 要输出的命令
copy /B chap1+chap2+chap3+chap4 文件名
Verificación de integridad
certutil -hashfile 图片名.png md5
(6)Análisis de archivos comprimidos
1. Cifrado y craqueo por fuerza bruta
ARCHPR(zip)
Se sabe que los primeros tres dígitos son abc, puede ingresar abc??? para craqueo por fuerza bruta
El pseudocifrado es el siguiente
(1) Pseudocifrado zip
pseudocifrado zip, use winhex para abrir el archivo comprimido, busque el noveno y décimo carácter en el encabezado del archivo y modifíquelo a 0000
(2) Pseudocifrado RAR
Debido a que el archivo RAR tiene verificación de encabezado, aparecerá un error al abrirlo usando pseudocifrado. Si el error desaparece y el archivo se descomprime normalmente después de usar Winhex para modificar la bandera, significa que está pseudocifrado. Utilice winhex para abrir el archivo RAR y busque el byte 24. La mantisa de este byte es 4, que significa cifrado, y 0, que significa sin cifrado. Cambie la mantisa a 0 para romper el pseudo cifrado.
2. Análisis de tráfico
Incluye principalmente reparación de paquetes de tráfico, análisis de protocolos y extracción de datos.
analizador de red wireShark
wireShark utiliza sus propios y potentes filtros de mensajes para ayudarnos a filtrar los mensajes que queremos.
Comandos de filtrado más utilizados
1. Filtrar IP
ip.src eq x.x.x.x or ip.dst eq x.x.x.x
ip.addr eq x.x.x.x
2. Puerto de filtro
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 #只显示tcp协议的目标端口为80
tcp.srcport == 80 #只显示tcp协议的原端口为80
tcp.port >= 1 and tcp.port <=80
3. Protocolo de filtrado
tcp/udp/arp/icmp/http/ftp/dns/ip...
4. Filtrar MAC
eth.dst == A0:00:00:04:C5:84 #过滤目标MAC
5. Filtrado de longitud de paquetes
udp.length == 26#这个长度指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7#指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94#除了以太网头固定长度14,其他都算是ip.len,即空ip本身到最后
frame.len ==119#整个数据包长度,从eth开始到最后
6.filtrado en modo http
http.request.methed == "GET"
http.request.methed == "POST"
http.request.uri="/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
http.request.method == "GET"
http contains "flag"
http contains "key"
tcp contains "flag"
protocolo SMTP
SMTP es un protocolo que proporciona una transmisión de correo electrónico confiable y eficiente. SMTP es un servicio de correo electrónico basado en el servicio de transferencia de archivos FTP y se utiliza principalmente para transferir información de correo electrónico entre sistemas y proporcionar notificaciones sobre cartas entrantes. SMTP es independiente de un subsistema de transmisión específico y solo requiere el soporte de un canal de flujo de datos confiable y ordenado. Una de las características importantes de SMTP es su capacidad para transmitir correos electrónicos a través de la red, es decir, "retransmisión de correo SMTP". Usando SMTP, la transmisión de correo se puede realizar entre procesos de procesamiento en la misma red, y la transmisión de correo entre un proceso de procesamiento y otras redes también se puede realizar a través de un relé o puerta de enlace.