title: CTF学习记录-Misc-压缩包加密&取证技术tags: CTF
abbrlink: d50e0ee8
date: 2020-11-20 16:38:02
压缩包加密
- 暴力破解
eg. RAR Cracker(Windows)
ZIP文件中,文件头和每个文件的核心目录区都有通用标记位。核心目录区的通用标记位距离核心目录区头504B0102的偏移为8字节,其本身占2字节,在低位表示这个文件是否被加密,将其改为0x01后,再次打开会提示输入密码(伪密码),只需将标记复位,即可正常打开。
binwalk -e也可以无视伪加密,MacOS也可直接打开压缩包。
类似的,文件头处的通用标记位距离文件头[^504B0304] 的偏移为6字节,其本身占2个字节,最低位表示这个文件是否被加密,但该位被改为0x01的伪加密压缩包不能通过Binwalk或MacOS直接提取,需要手动修改标志位。
- 已知明文攻击
取证技术
流量分析
WireShark&Tshark
- 常见操作
Wireshark的[追踪TCP流]的方法,即可获取会话中双方传输的所有数据,方便进一步分析。
对于HTTP等常见协议,WireShark提供了导出对象功能,可以方便的提取传输过程中发送的文件等信息
特殊种类的流量包
对于一个USB流量包,Tshark工具可以方便地获取纯数据字段:
tshark -r filename.pcapng -T fields -e usb.capdata
若有收获,就点个赞吧
0 人点赞
