winhex改宽高和伪加密
作者:互联网
文章目录
前言
我所熟悉winhex用法是两种,一种是修改了高度,另一种是进行了伪加密。我是在做题的时候突然忘了具体咋操作的了,于是就打算写下,方便下次找。
winhex
winhex 是一个专门用来对付各种日常紧急情况的工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。总体来说是一款非常不错的 16 进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价,拥有强大的系统效用。但是我只会改高和伪加密。
修改高度
png
比如png图片
(我随机找的,没有flag,凑合看下)
这个图片就明显缺失了一部分,直接去修改图片的宽和高。用winhex打开。
从第二行开始,前四位是宽,后四位是高。也就是00 00 0A AB是它的宽00 00 04 00是它的高。对她=它的高直接进行修改,我们可以把00 00 04 00改为00 00 06 00就能得到
jar
jar图片和上面有点不一样
找到与图片高度有关的编码位置,在这里可以看到标记代码为FFC0,用Winhex软件打开该图片,设置成查看16进制,然后用查找16进制数值的功能搜索FFC0。
这里写图片描述
伪加密
总结一下伪加密题的解法,首先伪加密是指对zip文件的标志位进行修改,然后达到加密的效果,实际上并没有加密。
一个 zip 文件由三个部分组成:
压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志
例:有一个伪加密zip文件,用winhex工具打开查看其十六进制编码,如下
首先需要了解一下这些16进制数的作用才能知道为什么要这样写,不要为了做题而做题。
压缩源文件数据区:
50 4B 03 04:这是头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
00 00:扩展记录长度
6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500b
压缩源文件目录区:
50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,更改这里进行伪加密,改为09 00打开就会提示有密码了)
1
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
24 00:扩展字段长度
00 00:文件注释长度
00 00:磁盘开始号
00 00:内部文件属性
20 00 00 00:外部文件属性
00 00 00 00:局部头部偏移量
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001
压缩源文件目录结束标志:
50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小
3E 00 00 00:目录区对第一张磁盘的偏移量
00 00 1A:ZIP 文件注释长度
找到 50 4B 01 02
把 09 改为 00 文件另存为,再打开就无加密了。
注意:09 是一个例子,末位为奇数,代表加密,为偶数代表未加密。
识别真伪加密:
无加密:
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为00 00
伪加密:
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00
真加密:
压缩源文件数据区的全局加密应当为09 00
且压缩源文件目录区的全局方式位标记应当为09 00
标签:文件,00,加密,压缩,winhex,改宽,文件目录 来源: https://blog.csdn.net/weixin_52612705/article/details/115638136