作者:hans774882968以及hans774882968
工具
- Windows自带strings命令。
- Notepad++的hex editor插件(下简称“hex editor插件”)。
如何安装hex editor插件
我的Notepad++版本比较老,不能用最新版的hex editor插件,一打开就闪退。选择次新的版本(0.9.11)即可(2022-03-04)。
实验涉及的两个文件可在参考链接下载。本文较简略,应结合参考链接来看。
1
Windows下有自带的strings命令,可以打印出任意文件的可打印字符串。strings ctf.jpg,看到最后一个字符串是ZmxhZ3t3ZWxjb21lX3RvX3hpYW56aGl9。这玩意可能是base64,在线解密得flag:flag{welcome_to_xianzhi}。
另外,用Notepad++的hex editor插件,在十分接近文件末尾的地方也能找到上述字符串。有用的被隐藏信息一般在文件末尾,原因在参考链接有解释。
2
cqzb.jpg。可以用hex editor插件看到一些常见文件的文件头:
- jpg:FF D8 FF E1,而结束标志为03 FF D9。
- zip:50 4B 03 04
- rar:52 61 72 21(即
rar!)
hex editor如何提取新文件
搜索zip的文件头,搜到以后,把从文件头到末尾的所有内容选中(参考链接已经有详细的解释了),右键选择“copy binary content”(注意,不是Copy!这是为了得到原始内容),在notepad++展示打开的文件名的tab那里双击建立一个新文件,点击插件的“View in hex”,然后再粘贴“paste binary content”。之后保存即可。
解压zip,得到一个txt,内容为“This is easy”。
