CTFMisc入门之图片隐写

注意，预备的基础知识在下面只会运用而不会详细解释，请自行查阅学习。

需要了解的前备知识：图片的文件格式，图片的可操作性，exif信息，简单编码知识（了解即可，会有应用一键解码），binwalk分离文件，foremost分离文件图片，RGB通道及有关像素知识，水印等等
需要应用的软件：010editor，winhex，stgesolve，ARCHPR,WaterMark，一些简单处理脚本（如crc爆破），以及一把梭神器（即集成应用）随波逐流等等，关于这些东西的使用与安装可自行在CSDN上搜索，在此不过多赘述。

为什么Misc里面有相当一大类图片隐写呢，原因很简单，图片里面可以藏的东西很多，不管是文件本身的格式里面偷偷藏几个数据（无论是直接给flag还是一些编码或别的提示），还是图片里边悄悄塞几个文件，修改宽高或像素，都可以隐藏出题人的答案，我们就是通过出题人的提示，题目及预备知识（不仅仅是本专业，甚至是人文社科，亦或数理，医药等等，主打一个杂，所以才叫Misc（安全杂项））。

好了，背景介绍完，我们可以开始正式介绍了

1.熟练应用工具查看图片文件格式。主要推荐工具有：010editor，winhex,随波逐流（注意，这个不比前两个，它只能简单的查看一下文件格式里可能隐藏了什么，而不能直接查看，主要是用来秒简单题目的）stegsolve

下面以010editor举例，选中文件后，进入界面,可以查看文件的hex格式、exif信息等等。
要注意出题人可能在hex里面隐藏的flag信息，但是一般情况下只要看一看头尾就行了。
还有就是文件头的问题，常见的文件头一定要有点印象，在网络上搜索就行了，如果文件头与实际后缀名不符直接修改后缀就可以了，这是解题的一般思路。
还有值得注意的是在处理zip相关题目的时候如果有加密像不要着急爆破，有可能是zip伪加密，对它在010上进行修改就行了。
当然，010里面也可以看crc修改痕迹，如果crc被修改过的话就会显示出来，然后关于crc爆破的脚本可以自己写或者搜，当然这些用随波逐流一把梭也是可以的，不过建议新手还是先自己使用找找感觉加深理解。
还有stegsolve的使用，首先要明确的是它是一个jar文件，这意味这你要配置相关的Java环境，建议在csdn上自行搜索，而且安装的时候一定要认真细致，本人曾因为第一次装的时候小地方出了问题而浪费一两个小时。。。
关于它的使用，一般是进行lsb隐写，一般的技巧就是在不同的颜色通道里看的时候会发现边上有一些小的格格不入的像素块，统一找到它们的颜色通道，然后选中进行lsb，详细过程也请参考csdn（狗头），本文章仅分享技巧。

2.对查看到的信息进行处理和分析，无论是直接的提示还是看似杂乱的字母，都是出题人的提示。

分析宽高被修改后使用脚本恢复。
或者发现图片像素分布不太对劲的，要写脚本操作（关于这个有一道很有意思的题目，下次再把它写出来）。
像分析文件有隐藏到的，binwalk或者foremost分离了再看别的文件。
获得加密文件确认不是伪加密后直接爆破。
发现水印相关后使用watermark分析。
等等......
总而言之，这个东西脑洞就是要大，要敢去试，反正错了又不会倒扣分（笑）。