相信大家在打一些取证比赛的时候,肯定会遇到一些图片隐写的题目。题目就一张图片,不管出题者怎么隐藏线索,一个Winhex即可解决。对于此类题目需要寻找flag,那么就有如下几种搜索方式:
1、搜索flag、ctf等关键字
2、通过正则匹配}之间的字符串内容:\{(.*)\}
3、通过Winhex文本段落检索功能
一、搜索关键字
打开Winhex通过Ctrl+F搜索ctf、flag、bug等关键字,如图1。
图1
二、正则表达式
本方法使用龙信天眼介质取证软件来使用正则匹配:\{(.*)\},搜索大括号}之间的字符,并且不确定里面有多少个字符,就利用该正则来处理。
这个正则表达式的含义是:
- \{和\}分别匹配左括号和右括号。因为{和}是特殊字符,所以需要使用反斜杠\进行转义。
- (.*)匹配任意数量的任意字符,并将其捕获为一个组。
图2
图3
三、文本段落检索
图4
一般flag里面都是字母+数字的字符串,所以设置10个连续的字母/数字来进行检索即可。直接定位到图片上红箭头所示的位置。
图5
图6