jpg图片隐藏压缩包

辨别

在图片里隐藏一个压缩包是一种常用的隐写术

可以使用010Editor打开图片,查看文件头部和尾部,查看是否有其他文件的文件头标识。

以“bugku 啊哒”这道题为例,使用 010Editor 打开图片后,在结尾看到了压缩包的文件头标识 

1
05 4B 03 04

image-20231119125219257

分离文件并提取

可以使用 kali 下的binwalk分离出文件。

1
binwalk -e ada.jpg --run-as=root

image-20231119130558606

image-20231119130651440

拓展 常见的文件头和结尾

以下是一些常见文件的文件头(File Signature)和文件尾标识(File Footer Signature)的示例:

  1. JPEG 图像 (.jpg, .jpeg):
    • 文件头:FF D8 FF E0
    • 文件尾标识:FF D9
  2. PNG 图像 (.png):
    • 文件头:89 50 4E 47 0D 0A 1A 0A
    • 文件尾标识:IEND(以ASCII形式存在)
  3. ZIP 文件 (.zip):
    • 文件头:50 4B 03 04
    • 文件尾标识:50 4B 05 06(结束记录的标识)
  4. PDF 文档 (.pdf):
    • 文件头:25 50 44 46 2D
    • 文件尾标识:25 25 45 4F 46(以ASCII形式存在)
  5. GIF 图像 (.gif):
    • 文件头:47 49 46 38 39 61
    • 文件尾标识:00 3B
  6. MP3 音频 (.mp3):
    • 文件头:FF FB
    • 文件尾标识:可变,通常没有固定的标识
  7. Microsoft Word 文档 (.docx):
    • 文件头:50 4B 03 04
    • 文件尾标识:50 4B 05 06(结束记录的标识)
  8. Microsoft Excel 电子表格 (.xlsx):
    • 文件头:50 4B 03 04
    • 文件尾标识:50 4B 05 06(结束记录的标识)
  9. Windows 可执行文件 (.exe):
    • 文件头:4D 5A
    • 文件尾标识:没有固定的标识,通常没有特定的结尾标志。