【攻防世界】-神奇的压缩文件

⭕、知识点

1、压缩包NTFS(New Technology File System)流隐写及其分离
2、压缩包注释
3、制表符

一、题目

给了一个压缩包

二、解题

1、解压得到一个txt文本，大小只有1kb

2、但是解压前压缩包大小却有400多KB,明显隐藏了什么信息

3、查阅得到应该是NTFS数据流隐写

4、下载隐藏数据流提取工具AlternateStreamView

5、提取出一个压缩包

6、WinRAR打开压缩包发现注释内容

7、复制内容到word文档里，发现一些制表符

8、进行01替换

9、转码得到flag

三、答案
lctf{6d3677dd}

四、总结
1、收获了NTFS流隐写及其提取工具
2、如果压缩包解压后内容大小却远小于原压缩包大小，考虑是NTFS隐写。