MISC-clip

时间：2020-03-29 13:38:10 阅读：75 评论：0 收藏：0 [点我收藏+]

拿到文件后查看提示，提示为“从损坏的旧硬盘中提取了一个奇怪的文件系统”。

使用file命令查看文件

技术分享图片

查询无果。

文件只有2.5m所以应该不是内存dump

利用binwalk查看

技术分享图片

发现许多压缩过的数据，应该是图片文件。放进010ditor里查看。

技术分享图片

发现两个IHDR头，说明有两张png图片，提取出来。

第二张照片需要补文件头

可以看到我们提出来两张png，但是为什么要给两张看似一样的png呢、

技术分享图片

用Beyond Compare的十六进制比较功能查看两张图片

我们可以发现，两张图片十六进制位不同的地方是有规律的。仔细观察我做标记的两个地方。

左边是

A4 BE 06 17 78 01 01 00 04 FF FB 02 CE 01 D6 88 46 C5 96 70 CD

右边是

02 CE 01 19 DE 05 C1 78 01 01 00 04 FF FB D6 88 46 C5 96 70 CD

可以看到最后七个字节是相同的。

而右边的

02 CE 01

是左边的倒数第八九十个字节，也就是说本来的hex应该是这样的

02 CE 01 D6 88 46 C5 96 70 CD

再结合其他不同的地方，可以判断出，两组图片内插入了一定数量的

A4 BE 06 17 78 01 01 00 04 FF FB

就是这些字节，导致原本的像素点被挤到其他位置，导致图片位移。删除掉这些字节即可恢复图片。

原文：https://www.cnblogs.com/p201721410013/p/12591767.html

踩

(0)

评论一句话评论（0）

分享档案

更多>