1.拿到图片文件先看是否能打开
不能打开放到winhex里面尝试填充文件头看看
———常用文件头———
JPEG (jpg),文件头:FFD8FFE1
PNG (png),文件头:89504E47 (0D0A1A0A)
GIF (gif),文件头:47494638
ZIP Archive (zip),文件头:504B0304
RAR Archive (rar),文件头:52617221
XML (xml),文件头:3C3F786D6C
MPEG (mpg),文件头:000001BA
MPEG (mpg),文件头:000001B3
AVI (avi),文件头:41564920
———不常用———
TIFF (tif),文件头:49492A00
Windows Bitmap (bmp),文件头:424D
CAD (dwg),文件头:41433130
Adobe Photoshop (psd),文件头:38425053
Rich Text Format (rtf),文件头:7B5C727466
HTML (html),文件头:68746D6C3E
Email [thorough only] (eml),文件头:44656C69766572792D646174653A
Outlook Express (dbx),文件头:CFAD12FEC5FD746F
Outlook (pst),文件头:2142444E
MS Word/Excel (xls.or.doc),文件头:D0CF11E0
MS Access (mdb),文件头:5374616E64617264204A
WordPerfect (wpd),文件头:FF575043
Postscript (eps.or.ps),文件头:252150532D41646F6265
Adobe Acrobat (pdf),文件头:255044462D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E3828596
Wave (wav),文件头:57415645
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
MIDI (mid),文件头:4D546864
试着修改长宽等数据
[CTF-MISC][图片隐写]如何判断图片被修改了宽高_cxjchen的博客-CSDN博客
gif图可进行逐帧提取
2.各种文件利用foremost进行文件分离
一般分离出的文件可能包含密码等重要信息
3.遇到pcapng先进行文件分离,后再利用wireshark进行流量分析
多使用字符串查询,追踪流量,可复制文件内容到winhex中为winhex-ascii码进行文件重现
4.图片合成命令
cmd中 copy 1.jpg/b+2.php 3.jpg
5.拿到文件右击属性
6.遇到黑白图片,长短符号转换二进制再转换字符
7.遇到pdf文件,打开可移动里面的图片等附件,也许密码就藏在后面,word文件同理
8.遇到相同的图片但是大小不同,利用stegsolve进行对比
9.遇到纯色图片利用stegsolve位移
10.图片经过上述操作无任何改变尝试lsb隐写
持续更新