杂项的基本解题思路(2)——压缩文件处理
- 文件操作隐写
- 图片隐写
- 压缩文件处理
- 流量取证技术
压缩文件分析
ctf题给出压缩包,然后要去对压缩包分析。
1、伪加密
如果压缩文件是加密的,或文件头正常但压缩错误,首先尝试文件是否为伪加密。
zip文件是否加密通过文件标识符来显示的,在每个文件的文件目录字段有一位专门标识了文件是否加密,将其设置为00,表示该文件未加密,并且呢,解压成功的话,表示伪加密,否则,它很可能真的是一个加密压缩包。
那么此时应该再去联想收集到的其他信息,是否为解压密码,做过一些题都是先找出字段信息,后发现加密压缩包,然后解压得出的flag
操作方法:
用winhex打开压缩文件,找文件头的第九第十个字符,将其修改为0000,
RAR文件****由于有头部校验,使用伪加密打开文件时会出现报错,使用winhex修改标志位后如果报错消失并且能正常解压缩,说明是伪加密。
与zip不同的是,找到第24个字节,将该字节尾数为4表示加密,0表示无加密,将尾数改为0即可**伪加密.
tips:winhex中,一行有16位,所以数字7下面对应的第二行就为24位
曾经做过一个解压的ctf,给出一个损坏压缩包,用2345好压,它智能的给我修复了,结果解不出flag,
最后找到wp,用的是很老的解压软件,解出来的。
也有可能是涉及到压缩算法的不同,好2345能设置压缩算法
2、暴力**
这种难度稍高,有些题目有提示密码前几位是多少,然后后几位要自己试。
一道题很可能压缩包只是一道题的载体…一个步骤,除非考压缩文件的修复,这难度就大。
通常用工具来**:
tips:
如果密码6位,给出前三位abc,使用掩码**
密码输 abc???;
文件本身有损
做解压或者**的时候,最好先检查先文件本身是否损坏,这可能涉及到最后解压是否能解压出所有文件
RAR中
那么,文件块的第三个字节位快类型,也叫头类型。
头类型0x72 表示标记块
头类型0x73 表示压缩文件头块
头类型0x74 表示文件头块
头类型0x75 表示表示注释头
…