misc

Python 脚本（文本隐水印）

import cv2
import numpy as np
import matplotlib.pyplot as plt
img = cv2.imread('111111.jpg',0) #直接读为灰度图像
f = np.fft.fft2(img)
fshift = np.fft.fftshift(f)#将图像中的低频部分移动到图像的中心
#取绝对值：将复数变化成实数
#取对数的目的为了将数据变化到较小的范围（比如0-255）
s1 = np.log(np.abs(f))
s2 = np.log(np.abs(fshift))
plt.subplot(121),plt.imshow(s1,'gray'),plt.title('original')
plt.subplot(122),plt.imshow(s2,'gray'),plt.title('center')
plt.show()

kali 中一个分离文件的工具：：binwalk（有的一个文件用 010 打开后就上面的那些特征，它可能有好几个，这时候就需要用这个工具将它们分开，或者是里面有如 zip 这样的压缩包的特征，直接将后缀改成 zip，rar 等压缩包后缀也可以分开）
使用方法
分析文件
binwalk 文件绝对路径

比如要分析～目录下的 1.png 文件

则使用命令 binwalk ~/1.png

一般会在当前目录下生成分离出来的文件

分离文件
dd if = 原文件路径 of = 输出文件 skip = 从哪个字节开始 bs=1

有与上面演示分离 1.png 并没有分离出有用的文件，所以这里假设分离结果中有一条数据如下：

DECIMAL HEXADECIMAL DESCRIPTION

100 0x11420 zip conpressed data, compressed

那么我们就可以使用如下命令分离得到该 zip 文件

dd if=1.png of=1.zip skip=100 bs=1

综合使用
binwalk -e 文件 --run-as=root
此命令可以分析并分离文件，分离得到的文件将会保存在同一目录下。

题目下载的文件如 Bearlove 这样的没有任何后缀的，放到 010 打开，前面是 D4 C3 B2 A1 说明是一个流量包，放到 wieshark 打开后直接导出 http 可以导出一些文件来做

看这里的 14000900 后面的 0900 两个都是说明是真加密而不是伪加密

1、什么是文件头

用来分辨我们文件类型的，防止在修改拓展名后不知道 是什么文件。

在做题时科学上网找到我们需要的文件头，或者制作自己的知识库储存自己常用的文件头。
2、zip文件在16进制编辑器里的样子

压缩源文件数据区：

50 4B 03 04：这是头文件标记（0x04034b50）

14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密）【如果第一个00是基数比如01  03说明文件有加密   通常是09】

08 00：压缩方式

【5A 7E：最后修改文件时间

F7 46：最后修改文件日期】      取证时看

压缩源文件目录区：

50 4B 01 02：目录中文件文件头标记(0x02014b50)

3F 00：压缩使用的 pkware 版本

14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）

08 00：压缩方式

5A 7E：最后修改文件时间

F7 46：最后修改文件日期

压缩源文件目录结束标志：

50 4B 05 06：目录结束标记

00 00：当前磁盘编号

00 00：目录区开始磁盘编号

01 00：本磁盘上纪录总数

01 00：目录区中纪录总数