圖片隱寫及BinWalk識別隱藏資料

最近學習了圖片隱寫與音訊隱寫，這次來一個組合拳練習練習。

本次實驗地址為：

https：//www。hetianlab。com/expc。do？ec=ECID172。19。104。182014121214025200001&pk_campaign=hetianweibo-wemedia

首先對內嵌檔案資料分析開啟stego4。jpg檔案，圖片裡面顯示了一段文字MUSTNOTHACK，其他似乎沒有什麼有用的資訊。

我們用binwalk看一下執行python binwalk命令來對stego4。jpg檔案進行處理，如圖所示：

可以看到裡面多了一個7-zip，這說明軟體分析出來這個圖片裡面還有一個壓縮包。那我們怎麼提取出來呢？

從BinWalk的分析結果可以看出，J其中RAR壓縮包的檔案偏移地址開始與0x1B8DD，這裡我們使用C32Asm將從0x1B8DD開始的所有資料提取出來。開啟桌面上的C32Asm工具，選擇“檔案”、“開啟十六進位制檔案”載入C：\Stegano\4\stego4。jpg檔案，然後右鍵選擇“定義選擇塊”，填入資料塊的起始地址為0x1B8DD，結束地址選擇“檔案結尾”，單擊確定就選中資料塊了，右鍵複製資料，然後新建一個十六進位制檔案，將原有的資料替換為複製的資料，儲存即可得到壓縮包檔案。操作過程如圖所示：

這樣就得到了一個RAR壓縮包檔案了。

這個壓縮包裡面解壓出來的flag。7z居然需要密碼，p3檔案也被隱藏起來了，在cmd中透過dir /AH命令就可以看到，使用attrib -H DO_NOT_LOOKING_HERE。mp3命令去除MP3檔案的隱藏屬性，如下圖所示：

播放MP3檔案並不能聽到什麼有用的資訊，我們嘗試使用MP3Stego檢查檔案中使用隱藏了資料，使用MP3Stego的時候需要指定一個密碼，這裡使用原始圖片中顯示的MUSTNOTHACK字串。開啟cmd命令提示符，首先切換到C：\tools\MP3Stego\目錄，然後執行命令MP3StegoDecode。exe -P MUSTNOTHACK -X C：\Stegano\4\stego\DO_NOT_LOOKING_HERE。mp3，如圖所示：

之後我們提取出來一個txt檔案，檔案內容為INEVERASKEDABOUTTHIS！

把文字內容當成壓縮密碼輸入，得到Flag為VERYEASYSTEGO，即題目要求我們所要尋找的字串。