Do1phln
发布于 2020-11-20 / 3 阅读
0
0

CTF学习记录-Misc-压缩包加密-取证技术

压缩包加密

  1. 暴力破解

    eg. RAR Cracker(Windows)

  2. ZIP伪加密

    原理

    ZIP文件中,文件头和每个文件的核心目录区都有通用标记位。核心目录区的通用标记位距离核心目录区头504B0102的偏移为8字节,其本身占2字节,在低位表示这个文件是否被加密,将其改为0x01后,再次打开会提示输入密码(伪密码),只需将标记复位,即可正常打开。

    binwalk -e也可以无视伪加密,MacOS也可直接打开压缩包。

    类似的,文件头处的通用标记位距离文件头[^504B0304] 的偏移为6字节,其本身占2个字节,最低位表示这个文件是否被加密,但该位被改为0x01的伪加密压缩包不能通过Binwalk或MacOS直接提取,需要手动修改标志位。

  3. 已知明文攻击

取证技术

流量分析

WireShark&Tshark

  1. 常见操作

    Wireshark的[^统计]菜单可以查看流量包的大致情况(包含哪些协议,IP地址参与了会话等等),对于切割后小的TCP数据流,可以使用[^追踪TCP流]的方法,即可获取会话中双方传输的所有数据,方便进一步分析。

    对于HTTP等常见协议,WireShark提供了导出对象功能,可以方便的提取传输过程中发送的文件等信息

特殊种类的流量包

对于一个USB流量包,Tshark工具可以方便地获取纯数据字段:

tshark -r filename.pcapng -T fields -e usb.capdata

评论