今天博主分享jpg格式的溯源,书接上文。
首先找到一个使用Adobe编辑过的jpg,我们右键,使用010 Editor打开
安装模板
然后我们依次展开结构体“APP1”
我们可以看到第一个APP1结构体“app1[0]”存储的是E...
Wangyeyu2015
1周前 (01-24) 16℃
0喜欢
博主在近期工作中遇到了一些关于图片溯源的课题,所以博主整理了下几种常见溯源方式来供大家讨论学习,博主计划分为几篇博文分开讲解,本期博主先介绍PNG图片的溯源。
首先我们需要先认识一下PNG格式的结构,我们可以在 https://www.w3.org/TR/png/ 找到有...
Wangyeyu2015
1周前 (01-22) 17℃
0喜欢
看到这两天有小伙伴给我发邮件,说使用7-Zip查看交换数据流不太方便,问我有没有更好的一些方法,那么今天咱们就展开讲一下吧。
还是老样子,我尽量讲的细一点,因为有很多读者是没有基础的小伙伴,方便大家看完文章能够复现,如果是稍微有些基础的小伙伴可以跳着看。
先补充一下...
Wangyeyu2015
1个月前 (12-28) 57℃
0喜欢
注:以下内容建议在win10及以上操作系统的NTFS格式分区下复现。
近期博主在使用7-Zip,时,发现了一个很有意思的选项,叫做“交替数据流”。
经过博主研究过,发现这个还是挺有趣的,所以今天博主分享一下关于NTFS交换数据流的溯源方法。
首先,我们...
Wangyeyu2015
1个月前 (12-23) 69℃
0喜欢
最近博主在研究如何通过行为分析的方式进行溯源,结果发现这方面的知识在网上很少找得到。
所以博主决定来分享一下如何通过对PE中的时间、日志、发帖时间等推理攻击者活动时区。因为这方面的资料比较少,所以博主会尽量讲的细一些。
咱们先从PE中的时间讲起 ,有些基础的小伙伴可...
Wangyeyu2015
2个月前 (12-05) 84℃
0喜欢
“PDF是Portable Document Format的简称,意为“可携带文档格式”,是由Adobe Systems用于与应用程序、操作系统、硬件无关的方式进行文件交换所发展出的文件格式。PDF文件以PostScript语言图象模型为基础,无论在哪种打印机上都可保证精确的颜...
Wangyeyu2015
2个月前 (12-01) 97℃
0喜欢
众所周知,Windows PE文件结构长这样。
落到文件就像是这样,其中“■”颜色选中的地方是“IMAGE_DOS_HEADER”。
按照微软的文档说明,结构应该是这样:
是不是感觉怪怪的,好像与文档对不上?
我们可以尝试着人工先...
Wangyeyu2015
3个月前 (11-01) 199℃
6喜欢
近期发现了一些恶意的Lnk样本,忽然想到之前研究过Lnk文件的结构,就在此向大家分享一些有用的知识点,希望大家有所收获。
在Lnk文件中有很多字段,其中有一些字段很有意思,包括:“MachineID”、“MAC Address”、“SID”、“DriveSerialNum...
Wangyeyu2015
3个月前 (10-31) 180℃
0喜欢
博主前阵子工作的时候注意到命令行的dir命令有个“/Q”参数,可以获取到文件的所有者,也可通过该技巧快速定位攻击者留下的木马后门。
仔细研究了一下后发现这个参数还是比较有价值的,特别是在检查windows服务器被攻击的时候。
举个例子🌰:黑客...
Wangyeyu2015
6个月前 (08-16) 283℃
0喜欢
最近研究了一下部分压缩文件的文件头,发现在RAR中存在一个很有意思的字段”FILETIME mtime”,在RAR4的压缩中不会将其转到UTC+0的时间,即在RAR4中压缩时,所使用的时间为本地时间,那么这个信息有什么意义呢?
假设,在东京(UTC...
Wangyeyu2015
2年前 (2021-05-19) 981℃
0喜欢