文件类型识别

文件类型识别

1.file命令

使用场景：不知道后缀名，无法打开文件

格式：file 文件名

2.winhex

使用场景：Windows下通过文件头信息判断文件类型

3.文件头残缺/错误

使用场景：文件头残缺或文件头部字段错误无法打开文件

修复：使用winhex修改文件头

文件分离操作

1.binwalk工具

用来分析和分离文件的工具

用法：

分析文件：binwalk 文件名

分离文件：binwalk -e 文件名

2.foremost工具

用法

foremost 文件名 -o 输出目录名

3.dd

格式

dd if=源文件 of=目标文件名 bs=1 skip=开始分离的字节数

4.winhex

文件合并操作

1.linux下的文件合并

格式：cat 合并的文件 > 输出的文件

完整性检测：linux下计算文件md5

md5sum 文件名

2.windows下的文件合并

格式：copy /B 合并的文件 输出的文件命令

完整性检测：windows下计算文件md5

certutil -hashfile 文件名 md5

文件内容隐写

就是直接将key以十六进制的形式写在文件在，通常在开头或结尾部分，若在文件中间部分，通常搜索关键字来查找隐藏内容

1.winhex

2.nodepad++

图片隐写

1.细微的颜色差别

2.gif图多帧隐藏

颜色通达隐藏

不同帧图信息隐藏

不同帧对比隐写

3.exif信息隐藏

4.图片修复

tweakpng工具

使用场景：文件头正常却无法打开文件，利用tweakpng修改crc

高度错误时使用python计算高度

图片头修复

图片尾修复

crc校验修复

长宽高修复

5.最低有效位lsb隐写

zstg工具：安装：gem install zstg

​ 命令：zstg 文件名

wbsteg04工具针对bmp图片

6 图片加密

bftools用于解密图片信息

格式：Bftools.exe decode braincopter 要解密的图片名称 -output 输出文件名

Bftools.exe run 上一步输出的文件

silentype图片解密工具

stegdetect工具探测加密方式。针对jpg加密

stegdetect 图片名

stegetect -是敏感度 图片名

outguess

outguss -r 要解密的文件 输出结果文件名

jphide：jphs工具

f5

Java Extract 要解密的文件名 -p 密码

压缩文件分析

伪加密

暴力**：ARCHPR.exe

明文攻击：指知道加密的zip中部分文件的内容，利用这些内容推测出**并解密zip文件的攻击方法

wireshark常用过滤命令

1.过滤ip

ip.src eq x.x.x.x or ip.dst eq x.x.x.x

2.过滤端口

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 只显示tcp协议的目标端口为80

tcp.srcport ==80 只显示tcp协议的源端口为80

tcp.port >= 1

3.过滤协议

tcp/udp/arp/icmp…

4.过滤mac

eth.dst == mac地址

5.包长度过滤

udp.length == 26

tcp.len >= 7

6.http模式过滤

http流汇聚关键内容

1、html中直接包含重要信息

2.上传或下载文件内容，通常包含文件名，hash值等关键信息，常用post请求上传

3.一句话木马，post请求，内容包含eval，内容使用base64加密

无线流量包

aircrack-ng工具进行wife密码**

1.用aircrack-ng检查cap包：aircrack-ng xxx.cap

2.用aircrack-ng跑字典进行握手包**：aircrack-ng xxx.cap -w pass.txt

usb流量

键盘流量

暴力**：ARCHPRH.exe