杂项题：
一、文件操作与隐写
    （一）文件类型识别
        1、File命令
            格式：File 文件名
        2、winhex
            通过文件头信息判断文件类型
        3、文件头残缺/错误
            文件头部残缺或文件头错误无法正常打开文件
    （二）文件分离操作
        1、Binwaik命令
            分析文件：binwalk 文件名
            分离文件：binwalk -e 文件名
        2、foremost命令
            如果Binwalk无法正确分离可以使用foremost
            用法：foremost 文件名 -o 输出目录名
        3、dd命令
            当文件自动分离出错或无法分离时，可以使用dd实现手动分离
            格式：dd if = 源文件 of = 目标文件 bs=1 skip=开始分离的字节数
                    参数：if = file     输入文件名
                          of = file     输出文件名·
                          bs = bytes    设置2 读写块的大小为bytes
                          skip = blocks 从输入文件开头跳过blocks个块后开始复制
        4、winhex 
            找到要分离的部分点击复制
        5、010Editor
            打开文件>选中右键>Selection>Save Selection
            将16进制字符文件保存在一个文件
    （三）文件合并操作
        1、Linux下的文件合并
            cat 合并的文件 > 输出的文件 
            Linux下计算md5命令：md5 sum 文件名
        2、Windows下的文件合并
            copy /B 文件名+文件名 >输出文件名
            Windows下计算md5命令：certutil -hashfile 文件名 md5
            使用md5值对图片进行校验
    （四）文件内容隐写
        将KEY以十六进制形式写在文件中，通常在文件头部或者尾部，如果在文件中间可以通过搜索KEY或者flag查找隐藏内容。
        使用Noteoad++等编辑器查看进行搜索，可能还会出现在文件十六进制中使用软件查找进行查找
二、图片隐写
    （一）常见的隐写方法：
        1、细微的颜色差别
        2、GIF图多帧隐藏
            颜色通道隐藏
            不同帧图信息隐藏
            不同帧对比隐写
        3、Exif信息隐藏（查看图片的隐藏信息， gps定位、拍摄时间、图片大小、路径等）
            windows右击查看图片属性
            linux命令exiftool exif.jpg
        4、图片修复
            图片头修复
            图片尾修复
            CRC校验修复
            长，宽，高度修复
        5、最低有效位LSB隐写 （基于图片最低有效位修改储存信息的隐写方法）
        6、图片加密
            Stegdetect
            outguess
            Jphide
            F5
    （二）图片文件隐写
        1、Stegsolve（Analyse->image combiner）
            当两张jpg图片外观、大小、像素都基本相同时，可以考虑进行结合分析即将两个文件的像素RGB值进行XOR、ADD、SUB等操作，
          看能否得到有用的信息，看能否得到有用的消息，Stegsolve可以方便的进行这些操作
        2、LSB（最低有效位LSB隐写）
            LSB替换隐写基本思想是用嵌入的秘密信息取代载体图像的最低比特位，原来的7个高位平面与替代秘密信息的最低位平面组合成含隐藏信息的新图形
            1、像素三原色（红、绿、蓝）
            2、通过修改像素中最低位的1bit来达到隐藏效果
            3、工具：setgsolve（Analyse->Data Extract）、
                    zsteg（linux命令）、
                    wbstego4（.bmp（windows图片工具可以将jpg格式改为bmp）/pdf）、
                    python脚本
        3、TweakPNG
            PNG图像浏览工具，它允许查看和修改一些PNG图像文件的元信息储存
            使用场景：文件头正常却无法打开文件，利用TweakPNG修改CRC
            有时CRC没有错误，但是图片的高度或者宽度发生了错误，需要通过CRC计算出正确的高度或者宽度
        4、Bftools（windows命令）
            解密图片信息
            使用场景：在Windows的cmd下，对加密的图片文件进行解密
            格式：Bftool.exe decode braincopter 要解密的图片名称-output 输出文件名
            Bftool.exe run 上一步输出的文件
        5、SilentEye（使用程序打开目标图片，点击image->decode 点击decode，可以查看隐藏文件，点击保存即可）
            是一款可以将文字或者文件隐藏到图片的解密工具
            使用场景：Windows下打开SilentEye工具，对图片进行解密
        6、JPG图像加密
            （1）Stegdetect工具探测加密方式（linux命令）
                Stegdetect程序主要用于分析JPEG文件，因此用Stegdetect可以检测到通过JSteg、Jphide、OutGUess、Invisible Secrets、
              F5、appendX和Camouflage等隐写工具隐藏的信息
            格式：stegdetect xxx.jpg
                Stegdetect - s 敏感度 xxx.jpg
            （2）Jphide
                Jphide是基于最低有效位LSB的JPEG格式图像隐写算法
                使用场景：Stegdetec提示Jphide加密时，可以用Jphs工具进行解密，打开jphswin.exe，使用open jpeg打开图片，点击seek，输入密码和确认密码，
              在弹出文件框中选择要保存的解密我呢见位置即可，结果保存成txt文件
            （3）OutGUess（linux命令）
                一般用于解密文件信息
                使用场景：Stegdetect识别出来或者题目提示是outguess加密的图片
            （4）F5
        7、二维码处理
            （1）使用二维码扫描工具CQR.exe打开图片，找到内容字段
            （2）如果二维码某给个人定位角被覆盖了，该工具有时候也可以自动识别，如果识别失败，需要使用PS或画图工具将另外几个角的定位符移动到相应位置，补全二维码
            反色二维码可以通过画图工具取反色
            彩色二维码先取反再使用Stegsolve工具查看颜色
三、压缩文件分析
    （一）伪加密
        1、如果压缩文件是加密的，或文件头正常但解压错误，首先尝试是否为伪加密
        zip文件是否加密是通过标识符来显示，在每个文件的文件目录字段有一位专门标识文件是否为加密
        00表示该文件未加密，如果成功压缩则表示文件为伪加密，如果解压错误说明文件为真加密
        使用winhex打开压缩文件搜索504B0102，找到文件头第九个第十个字符，将其修改为0000
            压缩源文件数据区： 
              50 4B 03 04：这是头文件标记（0x04034b50） 
            14 00：解压文件所需 pkware 版本 
            00 00：全局方式位标记（有无加密） 头文件标记后2bytes
            08 00：压缩方式 
            5A 7E：最后修改文件时间 
            F7 46：最后修改文件日期 
            16 B5 80 14：CRC-32校验（1480B516） 
            19 00 00 00：压缩后尺寸（25） 
            17 00 00 00：未压缩尺寸（23） 
            07 00：文件名长度 
            00 00：扩展记录长度 
            
            50 4B 01 02：目录中文件文件头标记(0x02014b50) 
            3F 00：压缩使用的 pkware 版本
            14 00：解压文件所需 pkware 版本 
            00 00：全局方式位标记（有无加密，伪加密的关键） 目录文件标记后4bytes
            08 00：压缩方式 
            5A 7E：最后修改文件时间 
            F7 46：最后修改文件日期 
            16 B5 80 14：CRC-32校验（1480B516） 
            19 00 00 00：压缩后尺寸（25） 
            17 00 00 00：未压缩尺寸（23） 
            07 00：文件名长度 
            24 00：扩展字段长度 
            00 00：文件注释长度 
            00 00：磁盘开始号 
            00 00：内部文件属性 
            20 00 00 00：外部文件属性 
            00 00 00 00：局部头部偏移量
            
            50 4B 05 06：目录结束标记 
            00 00：当前磁盘编号 
            00 00：目录区开始磁盘编号 
            01 00：本磁盘上纪录总数 
            01 00：目录区中纪录总数 
            59 00 00 00：目录区尺寸大小 
            3E 00 00 00：目录区对第一张磁盘的偏移量
            00 00：ZIP 文件注释长度
        2、RAR文件由于头部有校验，伪加密时打开会出现报错
            RAR文件格式
            
        使用winhex修改标志位后报错消失且正常1解压，说明是伪加密
        使用winhex打开RAR文件，找到第二十四个字节，该字节尾数位4表示加密，0表示无加密，将尾数改为0即可破解伪加密
    （二）暴力破解
        工具：ARPR、AZPR、Ziperello
        当知道文件密码前三位是abc时，选择掩码，填入abc？？？
    （三）明文攻击
        明文攻击指知道加密的zip中部分文件的明文内容，利用这些内容推测出密钥并解密zip文件的攻击方法，相比于暴力破解，
       这种方法在破解密码较为复杂的压缩包时效率更高
        使用场景：已知加密的zip部分文件明文内容
        操作：（1）将明文文件压缩，变成zip文件（压缩算法要一致）
              （2）打开工具选择明文攻击，选择明文文件路径，
              （3）选择要破解的文件点击开始
             如果密码未找到，会出现加密密钥可能就是flag