常见的文件头识别和修复

博主： xiaolong
发布时间：2020 年 08 月 26 日
4441 次浏览
1 条评论
2863字数
分类：技术

常见的文件头识别和修复

文件头是位于文件开头的一段承担一定任务的数据

以下是常见的文件头:
在这里插入图片描述

相应的还有文件结尾
zip文件的结尾以一串504B0506开始
rar文件以C43D7B00400700结尾
JPG文件结尾为FFD9
PNG文件结尾为000049454E44AE426082
Gif文件结尾为3B

其中PNG文件头还包含IHDR信息
在这里插入图片描述
其中最常见的就是修改高度

在这里插入图片描述

将00FF改为01FF

在这里插入图片描述

在这里插入图片描述

一个zip文件头中的一些信息

在这里插入图片描述

50 4B 03 04：这是头文件标记
0A 00：解压文件所需 pkware 版本
00 00：全局方式位标记（有无加密）
00 00：压缩方式
6D A9：最后修改文件时间
FA 50：最后修改文件日期
9A EB F4 D1：CRC-32校验
04 00 00 00：压缩后尺寸
04 00 00 00：未压缩尺寸
08 00：文件名长度
00 00：扩展记录长度
66 6C 61 67 2E 74 78 74 66 6C 61 67 压缩源文件目录区
50 4B 01 02：目录中文件文件头标记
3F 00：压缩使用的 pkware 版本
0A 00：解压文件所需 pkware 版本
00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）
00 00：压缩方式

rar文件格式

[2018年网鼎杯CTF 第1场]clip

解压后用winhex或HxD打开，发现有两个png文件

在这里插入图片描述

在这里插入图片描述

但都没有文件尾，第二个的png文件头也不完整，所以提取出来后手动修复

在这里插入图片描述

在这里插入图片描述

将这两张图片放ps里拼一下就能得到flag
(ps:因为png的文件头和文件尾不完整，所以binwalk里分析不出来，foremost也无法分离)

bugku：一个普通的压缩包

解压flag.rar会提示secret.png文件头损坏

在这里插入图片描述

用winhex或者HxD查看
在这里插入图片描述

将7A改为74，就能正常解压出png文件（在rar中，74表示后面是个文件）

在这里插入图片描述

同样用winhex或者HxD查看png发现是GIF文件

在这里插入图片描述

后缀改为gif，接下来就是放stegsolve以及ps分离一下

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

ps拼一下，扫就有flag

参考
zip文件头
一个普通的压缩包wp

最后修改：2023 年 12 月 15 日

© 允许规范转载

如果觉得我的文章对你有用，请随意赞赏

1 条评论

wsneyhelpl
November 14th, 2024 at 05:03 am

真好呢

回复

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

hqthvjwkya
博主太厉害了！
wsneyhelpl
真好呢
快帆云
你好，我们的机场：快帆云，已经稳定运营三年多，现在诚邀推广员。...
无名博客
你好，请问封面图片可以借图吗？
无名博客
okok

常见的文件头识别和修复

xiaolong • 2020 年 08 月 26 日

<h1>常见的文件头识别和修复</h1><p>文件头是位于文件开头的一段承担一定任务的数据</p><p>以下是常见的文件头: <br><img src="https://qiuniu.xiaolong22333.top/20200721203641638.jpg" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>相应的还有文件结尾<br>zip文件的结尾以一串504B0506开始<br>rar文件以C43D7B00400700结尾<br>JPG文件结尾为FFD9<br>PNG文件 结尾为000049454E44AE426082<br>Gif文件结尾为3B</p><p>其中PNG文件头还包含IHDR信息<br><img src="https://qiuniu.xiaolong22333.top/20200722102248357.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""><br>其中最常见的就是修改高度</p><p><img src="https://qiuniu.xiaolong22333.top/20200722154442866.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""><br><img src="https://qiuniu.xiaolong22333.top/20200722154620526.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>将00FF改为01FF</p><p><img src="https://qiuniu.xiaolong22333.top/20200722154714571.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p><img src="https://qiuniu.xiaolong22333.top/20200722154735715.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><h2>一个zip文件头中的一些信息</h2><p><img src="https://qiuniu.xiaolong22333.top/2020072718012383.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>50 4B 03 04：这是头文件标记    <br>0A 00：解压文件所需 pkware 版本 <br>00 00：全局方式位标记（有无加密）                <br>00 00：压缩方式<br>6D A9：最后修改文件时间                                 <br>FA 50：最后修改文件日期 <br>9A EB F4 D1：CRC-32校验                                <br>04 00 00 00：压缩后尺寸<br>04 00 00 00：未压缩尺寸                                      <br>08 00：文件名长度 <br>00 00：扩展记录长度 <br>66 6C 61 67 2E 74 78 74 66 6C 61 67 压缩源文件目录区<br>50 4B 01 02：目录中文件文件头标记                    <br>3F 00：压缩使用的 pkware 版本 <br>0A 00：解压文件所需 pkware 版本                     <br>00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）<br>00 00：压缩方式</p><hr><p><span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/Claming_D/article/details/105899397?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param" target="_blank"><i data-feather="external-link"></i>rar文件格式</a></span></p><hr><h2>[2018年 网鼎杯CTF 第1场]clip</h2><p>解压后用winhex或HxD打开，发现有两个png文件</p><p><img src="https://qiuniu.xiaolong22333.top/20200730121851924.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p><img src="https://qiuniu.xiaolong22333.top/20200730121935692.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>但都没有文件尾，第二个的png文件头也不完整，所以提取出来后手动修复</p><p><img src="https://qiuniu.xiaolong22333.top/20200730122628945.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p><img src="https://qiuniu.xiaolong22333.top/20200730122643373.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>将这两张图片放ps里拼一下就能得到flag<br><em>(ps:因为png的文件头和文件尾不完整，所以binwalk里分析不出来，foremost也无法分离)</em></p><hr><h2>bugku：一个普通的压缩包</h2><p>解压flag.rar会提示secret.png文件头损坏</p><p><img src="https://qiuniu.xiaolong22333.top/20200729181805286.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>用winhex或者HxD查看<br><img src="https://qiuniu.xiaolong22333.top/20200729182725931.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>将7A改为74，就能正常解压出png文件（<strong>在rar中，74表示后面是个文件</strong>）</p><p><img src="https://qiuniu.xiaolong22333.top/2020072918315435.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>同样用winhex或者HxD查看png发现是GIF文件</p><p><img src="https://qiuniu.xiaolong22333.top/20200729184425794.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>后缀改为gif，接下来就是放stegsolve以及ps分离一下</p><p><img src="https://qiuniu.xiaolong22333.top/20200729184958212.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p><img src="https://qiuniu.xiaolong22333.top/20200729185025363.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p><img src="https://qiuniu.xiaolong22333.top/20200729185135488.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p><img src="https://qiuniu.xiaolong22333.top/20200729185837236.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>ps拼一下，扫就有flag</p><hr><p>参考<br><span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/qq_40657585/article/details/83097386" target="_blank"><i data-feather="external-link"></i>zip文件头</a></span><br><span class="external-link"><a class="no-external-link" href="https://www.cnblogs.com/blili/p/9013555.html" target="_blank"><i data-feather="external-link"></i>一个普通的压缩包wp</a></span></p><hr>