最近刚看完了Michael Raggo的《数据隐藏技术解密》这本书,书中有些内容值得做一些笔记
右键单击,选择”字体”,勾选“隐藏”复选框即可隐藏文字
我们可以在Word的文件->选项->勾选“隐藏文字”复选框,或者“打印隐藏文字”完成隐藏内容的显示
另外一个识别隐藏文字的方法是使用检查文档选项,在文件->信息->检查文档中,可以检查隐藏元数据,例如作者,批注和可识别的其他信息
在Word的属性区域还有很多可以隐藏信息的选项
wbStego4open:http://www.bailer.at/wbstego/pr_4ixopen.htm
可以使用wbStego4open工具在PDF文件中隐藏版权信息,文件等,同时还可以设置密码,操作简单,按软件提示做就可以
工具原理:
- 将插入数据的每一个ASCII码转换为二进制格式
- 根据20代表0,09代表1,进行替换
- 最后将这些20 09序列嵌入PDF文件
原理如图:
我最近正在学习misc的内存取证和日志分析,volalility是一个常用的内存取证分析工具,接下来我们一起来看看它的几个使用方法和典型CTF赛题
volatility下载地址:https://github.com/volatilityfoundation/volatility
本文使用的版本非volatility3版本,而是老版本,需要python2运行
选自 [陇剑杯 2021]内存分析:
1.网管小王制作了一个虚拟机文件,让您来分析后作答:
虚拟机的密码是_____________。
首先,我们下载附件之后,看到压缩包里有一个vmem格式的文件
Tip:什么是VMEM格式的文件?
VMEM格式的文件通常与虚拟机有关。VMEM文件是VMware虚拟机使用的分页或交换文件,用来备份主内存文件(以.VMX后缀的文件)中的数据,在虚拟机电源被关闭时使用。当虚拟机正在运行而主机的物理内存不足以支持它时,系统会将一部分虚拟机内存数据存储到VMEM文件中。 这个文件通过存储虚拟机的物理RAM内容,可以在虚拟机启动时提供状态恢复功能。如果您需要处理此类文件,通常是因为您正在管理虚拟机或者需要分析虚拟机的运行状态。 在某些情况下,如果虚拟机没有正常关闭,例如突然断电,VMEM文件就可以用来恢复虚拟机运行前的状态。然而,由于这些文件可能非常大,并且包含了大量的数据,所以通常不会被移动或编辑。 正常的虚拟机操作不需要用户直接与VMEM文件交互。
我们这时就需要用到volatility工具分析这个vmem格式的文件,将其拖入kali linux 虚拟机中,我们可以使用
1 | python2 vol.py -f Target.vmem imageinfo |
来查看Target.vmem文件的镜像信息,这里的-f 指的是 file ,用于指定文件,imageinfo是查看镜像文件的信息,imageinfo在内存取证中一般都是经常使用的
这里的profile给出了一堆操作系统的名称,这是volatility工具预测的该我文件可能的操作系统版本,如果你能确定是哪个就选择哪个,否则可能需要挨个尝试,我们直接选择第一个尝试
我们通过命令
1 | python2 vol.py -f Target.vmem --profile Win7SP1x64 lsadump |
我为什么热爱网络安全,并走上学习网络安全的道路?🫤 这个嘛~,可以说我很早就有学习网络安全的打算了,在还没进入大学之前,我其实并没有真正很想报考网络空间安全专业,因为在当时我也是一个技术很平庸的人,成为不了最厉害的那一群人,但是,想到我高中参加信息学奥赛的经历,我又感觉想试试另外一个方向。我从小生活在一个四五线小城市,小学的时候家里有一台笔记本电脑,家里的电视虽然可以上网,不过只有那一点点片源(都是11年以前的),一直都没有更新,后来就没有我喜欢看的东西了,于是我就发现可以在电脑上下载影片到U盘或者读卡器然后插到电视上,