解题思路 · 常用命令

  • Linux命令
    • binwalk
    • foremost
    • dd
    • cat
    • md5sum
    • exiftool
    • zsteg
    • aircrack-ng
  • Windows命令
    • copy
    • certutil
  • 命令汇总
    • 分离文件
    • 合并文件
  • 基本解题思路
    • 图片文件隐写
    • 压缩文件分析
    • 流量取证分析

Linux命令

binwalk

分析文件:binwalk 文件名
分离文件:binwalk -e 文件名

foremost

分离文件:foremost 文件名 -o 输出目录名

dd

命令格式:dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数


可以结合binwalk使用

太过麻烦,也可使用winhex手动分离

cat

合并文件:cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件

md5sum

计算文件md5:md5sum 文件名

exiftool

分析属性:exiftool 文件名

zsteg

安装zsteg工具:gem install zsteg
检测LSB隐写:zsteg 文件名

aircrack-ng

检查cap包:aircrack-ng cap包文件名
跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名

Windows命令

copy

合并文件:copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件

certutil

计算文件md5:certutil -hashfile 文件名 md5

命令汇总

分离文件

Linux

binwalk -e 文件名

foremost 文件名 -o 输出目录名

dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数

合并文件

Linux
cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件

Windows
copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件

基本解题思路

图片文件隐写

  • exif
    查看详细信息

  • 像素RGB值进行XOR、SUB、ADD等操作

  • LSB替换隐写
    可使用zsteg命令分析
    可使用python脚本分析

  • PNG图片打不开时可尝试通过TweakPNG校验CRC
    可结合Winhex使用

循环冗余校验码(CRC),简称循环码,是一种常用的、具有检错、纠错能力的校验码,在早期的通信中运用广泛。循环冗余校验码常用于外存储器和计算机同步通信的数据校验。

  • 图片高度或宽度出错

  • 使用Bftools工具解密图片
    Windows命令:
    1、bftools.exe decode braincopter 要解密的图片名称 –output 输出文件名
    2、bftools.exe run 上一步输出的文件

  • Stegdetect工具探测加密方式
    主要用于分析JPEG文件
    Linux命令:
    stegdetect 文件名
    stegdetect -s 敏感度 文件名

压缩文件分析

  • 伪加密

  • 暴力破解zip
    使用Ziperello工具
    使用ARCHPR工具

流量取证分析

  • WireShark过滤器
    常用的过滤命令
    (“eq”可以用“==”代替)

1、过滤IP
ip.src eq ip地址:源IP
ip.dst eq ip地址:目标IP
ip.addr eq ip地址

例:
ip.src eq 192.168.7.146 or ip.dst eq 1.1.1.1

2、过滤端口
tcp.port eq 端口号
udp.port eq 端口号
tcp.dstport == 端口号:只显示tcp协议且为特定目标端口
tcp.srcport == 端口号:只显示tcp协议且为特定源端口
tcp.port >= 端口号1
tcp.port <= 端口号2

例:

tcp.port eq 192.168.7.146 or udp.port eq 192.168.7.146

tcp.port >= 1 and tcp.port <= 80

3、过滤协议
协议名

例:
tcp/udp/arp/icmp/http/ftp/dns/ip…

4、过滤MAC
eth.dst == MAC地址:只显示为特定目标mac

例:
eth.dst == A0:00:00:04:C5:84

5、包长度过滤
udp.length == 长度:指udp本身固定长度8加上udp下面数据包之和
tcp.len >= 长度:指ip数据包,不包括tcp本身
ip.len == 长度:除了以太网头固定长度14的其他部分,即从ip本身到最后
frame.len == 长度:整个数据包长度,从eth开始到最后

例:

udp.length == 28

tcp.len >= 6

ip.len == 90

frame.len == 128

6、协议模式过滤
http.request.method == "请求方法名"
http.request.uri == "uri路径"
[协议] contains "字符串"

例:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo.gif”
http contains “GET”
http contains “HTTP/1.1”
http contains “flag”
http contains “key”
tcp contains “flag”
http.request.method == “GET” && http contains “User-Agent:”

  • WireShark流汇聚

1、HTML中直接包含重要信息
2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传
3、一句话木马,POST请求,内容包含eval,内容使用base64加密

  • WireShark数据提取

1、自动提取传输的文件内容:
文件 -> 导出对象 -> HTTP

2、手动提取文件内容:

  • 无线WiFi流量包破解密码
    用 aircrack-ng 工具进行wifi密码破解
    检查cap包:aircrack-ng cap包文件名
    跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名

  • USB流量包文件分析

1、键盘流量抓取分析
Leftover Capture Data 中值与具体键位的对应关系,可参考:https://www.usb.org/hid

Leftover Capture Data 数据提取方式1(此方法不好用):

Leftover Capture Data 数据提取方式2:
利用wireshark提供的命令行工具tshark,可以将leftover capture data数据单独复制出来
Linux及Windows命令:
tshark -r pcap文件 -T fields -e usb.capdata > 输出的txt文件名

2、鼠标流量抓取分析

  • HTTPS流量包文件分析

MISC:基本思路 · 常用命令相关推荐

  1. linux iptables常用命令之配置生产环境iptables及优化

    在了解iptables的详细原理之前,我们先来看下如何使用iptables,以终为始,有可能会让你对iptables了解更深 所以接下来我们以配置一个生产环境下的iptables为例来讲讲它的常用命令 ...

  2. Linux基础常用命令

    ps -ef用于查看全格式的全部进程,其中"ps"是在Linux中是查看进程的命令,"-e "参数代表显示所有进程,"-f"参数代表全格式. ...

  3. windows dos/cmd常用命令

    1 窗口 1.1 颜色 1.1.1 帮助 color /? 查看帮助信息 0 = 黑色 8 = 灰色 1 = 蓝色 9 = 淡蓝色 2 = 绿色 A = 淡绿色 3 = 浅绿色 B = 淡浅绿色 4 ...

  4. linux下mkdir头文件_Linux部分常用命令学习记录

    Linux部分常用命令 ls 显示目标列表 ls -a 显示所有档案及目录(ls内定将档案名或目录名称为"."的视为影藏,不会列出): ls -l 以长格式显示目录下的内容列表.输 ...

  5. android adb 环境,Android安卓环境搭建及ADB常用命令

    .md ## 1.下载sdk 下载链接:http://tools.android-studio.org/index.php/sdk ## 2.安装sdk 安装完成,安装目录见下图 安装 ## 3.环境 ...

  6. Redis数据库(一)——Redis简介、部署及常用命令

    文章目录 一.关系数据库与非关系型数据库概述 1.关系型数据库 2.非关系型数据库 3.关系数据库与非关系型数据库区别 ①.数据存储方式不同 ②.扩展方式不同 ③.对事务性的支持不同 4.非关系型数据 ...

  7. Linux常用命令,超强万字总结!

    来自:JAVA小咖秀 链接:https://juejin.im/post/5ee444ea6fb9a047ca10f796 ls 最高使用频率的命令之一. 命令格式:  ls [OPTION]... ...

  8. java虚拟机常用命令工具

    java虚拟机常用命令工具 博客分类: 虚拟机 虚拟机jvmjava  一.概述            程序运行中经常会遇到各种问题,定位问题时通常需要综合各种信息,如系统日志.堆dump文件.线程d ...

  9. Linux常用命令与基本操作、填空题、简答题

    文章目录 基本知识点 基本操作 叙述什么是shell? 重启虚拟机网络 分区 查看当前进程 查看主机名 重启 关机 查看IP地址 文件搜索 挂载 查看网络配置 linux系统中Vi的三种模式 磁盘分区 ...

  10. Linux下netstat常用,Linux netstat常用命令

    1.统计80端口连接数 netstat -nat|grep -i "80"|wc -l 2.统计httpd协议连接数(查看Apache的并发请求数及其TCP连接状态) ps -ef ...

最新文章

  1. [转载]Matlab之静态文本多行输出
  2. Docker selenium自动化 - Python调用容器实例跑自动化查天气实例演示,docker selenium自动化环境部署过程
  3. CentOS7安装xfce桌面环境
  4. 如何恢复被破坏的PowerDesigner pdm文件
  5. 分享到系统面板_win7电脑没有nvidia控制面板怎么办【解决方法】
  6. 解决:elasticsearch 更新报错:The number of object passed must be even but was [1]
  7. 《iOS网络编程与云端应用最佳实践》微博转发送书了!
  8. React Native移动框架功能研究
  9. Eclipse中设置自动生成的author,date等注释
  10. unicode字符和多字节字符的相互转换接口
  11. 科大讯飞:5年内 科技会场没机器人端茶倒水就太low了
  12. 图解SynchronousQueue原理详解-非公平模式
  13. 企鹅医生与杏仁医生签订战略合并协议,全面发力大健康领域
  14. idm防火墙 windows10_win10解除防火墙阻止的方法
  15. linux读取excel文件内容,如何读取EXCEL文件到内表
  16. 区块链技术及实际应用
  17. 英特尔的新硬件套装使制作机器人和无人机更加简单
  18. linux日志切割命令,linux日志分割、去重、统计
  19. 【案例】全国知名网上书城——基于企业中台构建智慧悦读体验
  20. 使用命令行下载VS2022离线安装文件

热门文章

  1. 宏基5750G 不能用内置无线网卡上网
  2. Pandas学习-练习题
  3. 万年历程序例题(农历阴历转换)
  4. 哲学宗师 -- 柏拉图
  5. 统一服务消息 【公众号和小程序 模板消息下发统一openId解惑】
  6. 今有物不知其数三三数之JAVA_今有物不知其数,三三数之剩二,五五数之剩三,七七数...
  7. JAVA作业——工资个税计算器
  8. 身份证号码正则表达式及校验方法
  9. 傻事大征集:进来晾晾你小时候干过的傻事!www.11xp.com
  10. 实变函数与泛函分析课本pdf_免费推荐几本实变函数和泛函分析的书