Steganograafia 1

Nagu ka eelmises pildis, faili sisse on sõnum peidetud lihtsa tekstina. Ent mitte algusesse.

Ctrl-F

Mõni hex-editor oskab automatselt otsida lõike, mis näevad välja nagu tekst. Proovi "Search > Scan for Strings" (FlexHEX) või "izz" (radare2).

kasutades radare2-t:


Kasutades FlexHEX-i:

Seekord flag ei ole lihtsalt tekst, kuid sellegipoolest teksti tasuks otsida.

Faili algus ja lõpp on tihti kõige huvitavamad.

Paljud failivormingud sisaldavad 2-4 fikseeritud tähte, et failivormingut oleks lihtne tuvastada. Näiteks:

| Laiend | tunnusmärk |
|--------|------------|
|  .jpg  | JFIF       |
|  .png  | PNG        |
|  .zip  | PK         |
|  .exe  | MZ         |
|  .pdf  | %PDF       |
|  .7z   | 7z         |

On võimalik, et üks fail on samaaegselt avatav mitmes failivormingus.

Tarkvara nagu binwalk ja radare2 (käsk '/m') oskab automatselt otsida failivormingu tunnusmärke.

Antud JPEG fail on avatav ka ZIP failina.

Vaatame faili lõppu:


Kaks baiti 'PK' on ZIP failide tunnusmärk (ZIP failivormingu looja Phil Katzi initsiaalid). Lisaks on näha sõne 'flag.txt', 'pngembed.c' ning 'jpgembed.py'. Need on ilmselt failinimed, mis ka viitab sellele, et tegu on arhiiviga.