文件后缀名判断
1.file命令
2.hex查看文件头
文件分离
binwalk
分析文件:binwalk filename
分离文件:binwalk -e filename
遇到压缩包会自动解压
foremost
分离文件:foremost filename -o 输出文件名
dd
dd if=源文件 of=目标文件名 bs=读写块的大写 count= 取的块数 skip=开始分离的字节数
十六进制编辑器手动分离
o10editor winhex
文件合并
linux
cat 合并的文件 >输出的文件
完整性检测
md5sum 文件名
windows
copy /B 合并的文件(+) 输出的文件命令
完整性检测
certutil -hashfile 文件名 md5
图片隐写
1.GIF图多帧隐藏
a.颜色通道隐藏
b.不同帧图信息隐藏
c.不同帧对比隐写
2.exif信息隐藏
3.图片修复
a.图片头修复
b.图片尾修复
c.CRC校验
d.长宽高修复
4.最低有效位LSB隐写
5.图片加密
a.stegdelect
b.outguess
c.jphide
d.F5
6.工具
Firework
使用winhex打开文件看到文件头部包含firework标识,通过firework找到隐藏信息(类似PS)
Exif
图片右键 ->属性
linux下$exiftool 文件名
stegsolve
两种相同图片--> Image combiner
lsb(最低有效位) -->详见 图片文件隐写 -LSB (文章下面)
TweakPNG
文件头正常却无法正常打开文件,tweakpng会弹出校验错误的提示(CRC)
再利用十六进制编辑器进行更改即可,若更改后还是无法正常打开,可退出为宽高被修改了
Bftools(用于解密图片信息)
在windowsd的cmd下,对加密的图片进行解密
Bftools.exe decode braincopter 要解密的图片名 -output 输出文件名
Bftools.exe run 上一步输出的文件
SilenEye
用于将文字或文件隐藏到图片的解密工具
Stegdetect
用于探测JPG图像加密方式,例如 JSteg,JPHide,OutGuess,Fs等
stegdetect xxx.jpg
stegdetect -s 敏感度 xxx.jpg
JPHide:利用jphs解密
OutGuess:利用outguess工具解密,该工具需要编译使用./configure&&make&&make install 使用outguess -r 文件名
F5:利用F5工具解密,进入F5-stegdetect_F5目录,将图片复制到该目录,并CMD打开目录,Java Extract 解密文件 -p 密码
QR(二维码处理)
图片文件隐写 -LSB
1.RGB
2.通过修改像素中最低位的1bit达到隐藏效果
3.工具
stegsolve
打开文件>>Analyse>>Data Extract >>调整bit planes,bit order,bit plane order(多次尝试)>>preview
zsteg
适应PNG&BMP
installation gem install zsteg
method zsteg xxx.png
wbstego4(解密)
适应BMP&PDF&HTML&TXT
py脚本
method: python LSB.py
LSB.py
#coding:utf-8
import PIL.Image
def foo():
im=PIL.Image.open('01.bmp')
im2 = im.copy()
pix = im2.load()
width,heigth = im2.size
for x in xrange(0,width):
for y in xrange(0,height):
if pix[x,y]&0x1 == 0:
pix[x,y] = 0
else
pix[x,y]=255
im2.show()
pass
if __name__=='__main__':
foo()
print 'ok'
pass