CTF---图片的隐写

一、查看图片的基本信息

1、查看基本属性

2、查看图片十六进制源码信息

推荐工具：notepad++、winhex（主推）

（1）jpg图片源码

文件头：FF D8 FF
文件尾：03 FF D9

（2）png图片源码

文件头：89 50 4E 47 0d 0a 1a 0a 00 00 00 0d 49 48 44 52（十六进制）
文件尾：00 00 00 00 49 45 4e 44 AE 42 60 82（十六进制）

（3）GIF图片源码

文件头：47 49 46 38

（4）拓展

zip的文件头：十六进制50 4B 03 04，一般以PK表示
zip的文件尾：

二、图片色道通道方式隐藏

利用工具stegsolve打开图片，左右查找即可

三、改变图片文件的高度

1、对于png文件，其第二行第六列是高度位，改这一位即可；

2、对于其他格式图片，可以先看看图片的属性，得到宽高值，转成16进制数，搜索该16进制值就能找到标志位了

#四、文件复合隐写
CTF比赛中经常碰到png文件中复合其他文件的情况，如就是图片后面再放点压缩包、txt文档、或者再添加一张图片，具体操作方法如下：
copy /b a.jpg+b.zip c.jpg
copy /b a.jpg+b.txt c.jpg
copy /b a.jpg+b.jpg c.jpg
解题思路：通常这类图片比较大，可将图片后缀改为zip或者rar，解压即可。也可以用winhex找图片的开头结尾标志，手动分离出来，也可以使用kali下的工具binwalk或者foremost分出来