CTF隐写术全面指南

一、图片隐写术

1. 图种技术

原理：将压缩包与图片文件合并，利用文件格式特性隐藏信息

操作方法：

copy /b 图片.png + 压缩包.zip 输出文件.png

检测与提取方法：

1. 使用binwalk检测隐藏文件：

binwalk output.png

2. 使用foremost分离文件：

foremost output.png

3. 直接修改后缀法（简单但不稳定）：

• 将.png改为.zip后解压

2. LSB隐写

原理：修改像素颜色值的最低有效位(LSB)来隐藏信息，人眼难以察觉

分析方法：

1. 使用Stegsolve工具
2. 切换到Gray bits视图查看隐藏信息
3. 扫描可能隐藏的二维码或其他图形信息

3. 文件格式缺失与GIF隐写

GIF文件修复：

1. 使用WinHex检查文件头
2. 补全缺失的GIF文件头（如"GIF8"）
3. 检查文件结构是否符合GIF规范

GIF帧分析：

1. 使用Stegsolve的Frame Browser功能
2. 逐帧检查可能隐藏的信息
3. 注意快速闪过的帧或慢速播放的帧

二、压缩包隐写术

1. 伪加密技术

原理：修改ZIP文件目录区的全局方式标志位（09 00表示加密）

识别与修复：

1. 使用WinHex查看压缩包
2. 定位压缩源文件目录区
3. 将加密标志位09 00改为00 00
4. 某些压缩软件（如360压缩、快压）可直接打开伪加密文件

2. ZIP密码破解

破解方法：

1. 爆破攻击：尝试所有可能组合
2. 字典攻击：使用常见密码字典
3. 掩码攻击：已知部分密码时的定向破解

推荐工具：

1. ZAPR（多功能破解工具）
2. Ziperello（针对数字密码高效）

三、其他隐写技术

1. MP3隐写术

两种主要形式：

1. 使用MP3Stego工具隐藏（需要密码）
2. 频谱隐藏（查看音频频谱图）

MP3Stego使用方法：

# 切换到工具目录
E:
cd \path\to\mp3stego

# 解码命令
decode -X 隐藏文件.mp3

2. PDF隐写

技术特点：

1. 利用PDF文件头添加额外信息
2. 使用wbStego4open工具隐藏数据（20=0，09=1）

分析方法：

1. 检查PDF中异常的20和09序列
2. 使用工具提取隐藏的二进制数据

3. DOC隐藏技术

常见隐藏方式：

1. 隐藏字体设置
2. 同色字体（文字与背景同色）

显示隐藏内容：

1. 文件→选项→显示
2. 勾选"隐藏文字"选项

4. 数据包隐写术

分析工具：Wireshark

两种考察形式：

1. 关键信息直接隐藏在流量包中
2. 需要从流量包中分离出关键文件

分析方法：

1. 过滤HTTP流量
2. 检查可疑的TCP/UDP流
3. 提取传输的文件数据

四、实用工具清单

1. 图片分析：

   • binwalk
   • foremost
   • Stegsolve
   • WinHex

2. 压缩包处理：

   • ZAPR
   • Ziperello
   • 360压缩/快压（绕过伪加密）

3. 音频分析：

   • MP3Stego
   • Audacity（频谱分析）

4. 文档分析：

   • wbStego4open
   • Office自带功能

5. 流量分析：

   • Wireshark
   • Tcpdump

五、学习资源

1. 图片隐写术总结 - CSDN
2. ZIP文件总结 - 博客园
3. 音频隐写 - CSDN
4. CTF Wiki数据提取
5. 隐写术入门 - 知乎

本指南涵盖了CTF比赛中常见的隐写技术，掌握这些技术可以有效解决MISC类题目中的隐写问题。建议结合实际题目进行练习，熟悉各种工具的使用方法和不同文件格式的特性。