MISC学习指南

01、文件类

使用Binwalk、Foremost等工具对各种文件进行深度分析，了解文件的结构和组成部分，识别文件中的隐藏数据、嵌入的其他文件等。学习使用010 Editor、HxD等十六进制编辑器，对文件的十六进制数据进行编辑和分析，通过修改文件头、尾等关键信息来解决一些与文件格式相关的Misc题目。

02、流量分析

学习网络协议，如TCP、UDP、IP等，能够分析网络数据包中的协议字段，理解网络通信的过程和原理。掌握Wireshark的各种过滤规则和分析技巧，快速定位到所需数据包。

03、隐写类

掌握Stegsolve、Tweakpng等图片隐写分析工具的基本操作，使用这些工具对图片进行简单的分析和处理，查找其中隐藏的信息。学会使用Audacity等音频编辑工具，对音频文件进行频谱分析、波形查看等操作，尝试发现音频中的隐写信息。

04、取证类

学习内存取证，掌握Volatility等工具的各种插件用法，能够从内存镜像中提取出关键的进程信息、网络连接信息、密码等。
学习文件系统取证，了解不同文件系统的结构和特点，掌握文件恢复、数据 carving 等技术，能够从损坏或删除的文件系统中获取有用信息。

misc类型

1.图片类

2.压缩包类

3.音频、视频类

4.字符串类、进制转换

5.数据包、流量分析

6.内存取证应急响应

图片类

1.图片隐写
（1）Exif信息隐藏：Exif按JPEG规格在JPEG中插入图像、数字相机的信息数据及缩略图，可以通过与JPEG兼容的互联网浏览器、图片浏览器、图像处理等一些软件来查看Exif格式的图像文件，就跟浏览通常的JPEG图像文件一样。

（2）GIF动图多帧隐写：将信息隐藏在gif动图的某一帧画面中，通过工具将gif分解为图片。

（3）LSB隐写：全称为Least Significant Bit（最低有效位），是一种基于图片最低有效位修改储存信息的隐写方法，是通过将信息嵌入到图像点中像素位的最低位，以保证嵌入的信息是不可见的。

（4）图层隐写：若图片由多层叠加形成，有些题目会将信息隐藏在该图片的某层图层上，可用Stegsolve查看。

（5）图片包含：将其他格式文件通过工具合成到一起，一般在winhex里查看该文件时，被包含文件会出现在第一个文件头下方一定行或者在最尾部隐藏信息。

2.图片修复
图片修复修复长宽，使用winhex或010editor。
从第二行开始，前面四个为宽，后面四个为高，jpg文件的高度在FF C0后六位的后面02 0B（长宽位置不固定）
若CRC被修改，用winhex在长宽处修改，将后面98改为A8即可得到被隐写的字符。

压缩包类

1.爆破
暴力破解：选择密码范围、长度等，由软件组合生成密码破解。

掩码破解：已知密码部分内容，按规则构造其余部分破解。

字典破解：导入常用密码集合字典文件进行破解。

工具：ARCHPR

2.明文攻击
找到压缩包内其中一个已知的文件，用相同的压缩软件压缩算法去压缩无密码压缩包，得到明文。通过比较两个压缩包相同位置不同的12个字节，就可以还原出3个key，绕过密码提取出所有的文件。

需注意 CRC32 值相同，且该方法适用于传统的 ZipCrypto store 压缩加密算法的压缩包文件。当明文小或密文长时，攻击速度慢；即便未恢复密码，保存也可能得到压缩包内容。

3.伪加密
加密分为：真加密、伪加密、未加密。

音频、视频类

有时候会直接把flag或者关键信息塞进文件的字节信息里，可以用010或者winhex查看，更多时候会把信息隐藏在波形或者频谱中，可以使用Audacity工具来查看。

1.Audacity：打开直接看就能看到信息。

2.摩斯密码解密：很常见的一个考察点，这里以频谱图为例，长一点的和短一点分别换成-和.(一般情况下)，然后拿去解密

3.LSB音频隐写：类似于图片隐写的LSB隐写，主要使用Silenteye工具。

4.声频加密：该类题是将数据加密隐藏到文件里。

字符串、编码、进制转换

需了解编码、进制特征与规则，通过工具解码解密。题目有时会多次加密，如凯撒密码，明文中字母按固定数目偏移替换成密文，偏移量为13位时叫回转密码（ROT13），加密两次回到明文。

数据包、流量分析

1.网络模型
OSI的七层模型：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
TCP/IP四层模型：应用层、传输层、网络层、网络接口层。

2.TCP通信：三次握手和四次挥手

3.常见协议
应用层：HTTP、FTP、SMTP、POP3、IMAP、DNS、HTTPS、SSH、SNMP、Telnet
传输层：TCP、UDP
网络层：IP、ICMP、ARP、RARP、IPv6
网络接口层：以太网协议、无线局域网协议、点对点协议、数据链路层交换协议

内存取证应急响应

1.取证分类：手机取证、计算机取证、服务器取证、二进制取证、物联网取证等。

2.应急响应流程

准备--检测--抑制--根除--恢复--总结

准备：预防，装安全设备、开防火墙、设白黑名单。

检测：观察事件状态，选检测工具和应急方法。

抑制：遭受攻击时关停服务、断电源或网络。

根除：断开服务后观察系统，查日志找攻击信息。

恢复：修补漏洞，开放服务。

学习需熟悉操作系统、版本漏洞和系统文件，以便提取信息留存证据。

3.系统排查和取证分析

对Windows、Linux等系统，先查版本，观察服务、任务、开机自启程序，查版本漏洞、木马病毒。

再查询用户信息，看有没有攻击者对管理员用户进行复制对其提权并且隐藏用户。

接着排查日志和敏感文件，查看是否被修改或删除过，敏感文件同理。

最后对信息取证留存，如果是数据取证，就需要查找嫌疑人手机或者个人计算机中的证据，如聊天记录，制作的木马病毒，攻击他人系统或者服务器的痕迹等。

作者：晨星安全--Zion_Cat

---

• 分类： misc
• 标签： Misc