任意类型的文件适用:属性、二进制打开直接搜字符串(或者strings命令)、文件分离、文件头修复(文件头和尾对不上)、编码转换、
tip.UE查看时,可能会自动将两个字节译为汉字,导致丢失一两个字母。可用kali-strings解决。文件中不一定是直接的flag,可能插入了编码后的字符串,注意一大串可打印字符的地方。
图片
Stegsolve:
- 帧
- 图层
- RGB取0/LSB 查看文件内容变化
steghide隐写:kali-steghide
F5隐写:F5-steganography
CRC错误修复宽高:Deformed-Image-Restorer
outguess隐写
GIF
Stegsolve查看帧:
- 可能有文本内容
- 某一特殊帧转存为图片,再按照图片的思路求解
流量包
导出对象(可能有文件)或直接foremost文件分离
追踪tcp流,查看明文传输的信息
键盘/鼠标信息转为字符串/图片
压缩包
zip伪加密:ZipCenOp
ARCHPR:掩码/爆破,一般是4位数字
未解密的状态下也能查看被压缩文件的属性。
音频
Audacity:
- 查看波的形状:一般是摩斯密码、01序列。一定要放大查看!
- 反相后能够正常播放音频
磁盘文件
vmdk:可以7z解压
R-Studio文件恢复(有回收站的情况)
其他
xls:可以直接7z解压
qrcode:
gnuplot/plt
ntfs寄生数据流
base64隐写(不是单纯的base64,要用脚本跑
视频:逐帧分析……