当前位置：首页 > article >正文

告别Foremost和DD：用Python脚本一键自动化提取CTF中的‘图种’和隐藏文件

article 2026/4/20 17:17:47

用Python打造CTF隐写分析利器自动化提取图种与隐藏文件在CTF竞赛中压缩包隐写和文件拼接是常见的挑战类型。许多选手习惯使用foremost或dd这类工具进行文件分离但这些工具往往需要手动操作在处理批量文件或复杂嵌套结构时效率低下。本文将带你用Python构建一个自动化分析工具不仅能识别JPGZIP/RAR的图种结构还能智能处理伪加密等高级技巧。1. 理解文件拼接与隐写原理JPG文件以FF D8开头FF D9结束。图片查看器会忽略FF D9之后的内容这为隐藏数据创造了条件。常见的图种就是在JPG文件后追加ZIP/RAR压缩包[ JPG数据 | FF D9 | ZIP/RAR数据 ]传统方法使用foremost扫描整个文件或手动用dd切割文件。我们的Python脚本将实现更智能的检测def find_jpeg_end(data): 定位JPG结束标记FF D9 jpeg_end data.find(b\xFF\xD9) if jpeg_end -1: return None return jpeg_end 2 # 包含FF D9两个字节2. 构建自动化检测框架完整的检测流程应包括文件类型识别、隐藏数据定位和内容提取三个阶段。我们可以使用Python的magic库进行更精确的文件类型判断import magic def detect_file_type(data): mime magic.from_buffer(data, mimeTrue) if jpeg in mime: return JPEG elif zip in mime: return ZIP elif rar in mime: return RAR return UNKNOWN对于复合文件我们需要分段检测def analyze_composite_file(file_path): with open(file_path, rb) as f: data f.read() jpeg_end find_jpeg_end(data) if jpeg_end and len(data) jpeg_end: front_part data[:jpeg_end] hidden_part data[jpeg_end:] print(f前部文件类型: {detect_file_type(front_part)}) print(f隐藏部分类型: {detect_file_type(hidden_part)}) return hidden_part return None3. 处理伪加密的高级技巧ZIP伪加密是通过修改文件头中的加密标志位实现的。我们可以编写专门的检测函数def check_fake_encryption(zip_data): # 查找中央目录记录 central_dir_start zip_data.rfind(b\x50\x4B\x01\x02) if central_dir_start -1: return False # 检查全局加密标记 (偏移量6字节处) global_flags zip_data[central_dir_start6:central_dir_start8] is_encrypted (global_flags[1] 1) 1 # 检查局部文件头加密标记 local_header_start zip_data.find(b\x50\x4B\x03\x04) if local_header_start ! -1: local_flags zip_data[local_header_start6:local_header_start8] local_encrypted (local_flags[1] 1) 1 return is_encrypted and not local_encrypted return False4. 完整自动化工具实现结合上述技术我们可以构建一个完整的自动化处理工具import os import zipfile import rarfile from io import BytesIO class CTFStegAnalyzer: def __init__(self): self.temp_dir extracted_files os.makedirs(self.temp_dir, exist_okTrue) def extract_hidden_data(self, file_path): hidden_data self._find_hidden_part(file_path) if not hidden_data: return False if hidden_data.startswith(bPK): return self._handle_zip(hidden_data) elif hidden_data.startswith(bRar!): return self._handle_rar(hidden_data) return False def _find_hidden_part(self, file_path): with open(file_path, rb) as f: data f.read() jpeg_end data.find(b\xFF\xD9) if jpeg_end ! -1 and len(data) jpeg_end 2: return data[jpeg_end2:] return data if data.startswith((bPK, bRar!)) else None def _handle_zip(self, data): try: with zipfile.ZipFile(BytesIO(data)) as zip_ref: if check_fake_encryption(data): print([!] 检测到ZIP伪加密尝试绕过...) # 伪加密绕过逻辑 modified_data self._fix_fake_encryption(data) return self._handle_zip(modified_data) zip_ref.extractall(self.temp_dir) return True except Exception as e: print(fZIP提取失败: {e}) return False def _handle_rar(self, data): try: with rarfile.RarFile(BytesIO(data)) as rar_ref: rar_ref.extractall(self.temp_dir) return True except Exception as e: print(fRAR提取失败: {e}) return False def _fix_fake_encryption(self, data): # 实现伪加密修复逻辑 # 这里需要实际修改字节数据 return data5. 实战应用与性能优化在实际CTF比赛中我们还需要考虑以下增强功能批量处理模式def batch_process(directory): analyzer CTFStegAnalyzer() for root, _, files in os.walk(directory): for file in files: file_path os.path.join(root, file) print(f\n处理文件: {file_path}) if analyzer.extract_hidden_data(file_path): print(f成功提取隐藏内容到 {analyzer.temp_dir})嵌套提取检测def recursive_extract(file_path, depth3): if depth 0: return analyzer CTFStegAnalyzer() if analyzer.extract_hidden_data(file_path): for extracted_file in os.listdir(analyzer.temp_dir): new_path os.path.join(analyzer.temp_dir, extracted_file) recursive_extract(new_path, depth-1)性能对比表方法处理速度准确性易用性批量处理Foremost中等高中等支持DD命令快依赖参数低需脚本Python脚本可调节可定制高原生支持6. 异常处理与边界情况健壮的工具需要处理各种异常情况def safe_extract(file_path): try: with open(file_path, rb) as f: header f.read(4) if header.startswith(b\xFF\xD8): # JPG处理逻辑 pass elif header.startswith(bPK): # ZIP处理逻辑 pass elif header.startswith(bRar!): # RAR处理逻辑 pass else: print(未知文件格式) except PermissionError: print(权限不足无法读取文件) except FileNotFoundError: print(文件不存在) except Exception as e: print(f未知错误: {str(e)})在处理实际CTF题目时我发现最常遇到的三个问题是1) 文件头被部分破坏2) 嵌套层级过深3) 非常规的伪加密变种。针对这些问题我们的脚本需要保持足够的灵活性。

告别Foremost和DD：用Python脚本一键自动化提取CTF中的‘图种’和隐藏文件

相关文章：

告别Foremost和DD：用Python脚本一键自动化提取CTF中的‘图种’和隐藏文件

从‘老王分遗产’到智能指针：用生活例子彻底搞懂C++的dynamic_cast和std::dynamic_pointer_cast

深入Canvas渲染管线：从Rebuild、Rebatch到动静分离，一次讲清Unity UI合批原理

OpenClaw与系统环境冲突：Windows/Mac系统兼容问题解决指南

Dragablz性能优化实战：提升大型WPF应用的响应速度

实战指南：如何用开源统计软件JASP提升数据分析效率

OMNeT++ 6.0.1 踩坑记：手把手教你搞定INET 4.5.0与TSN仿真环境搭建

LxgwNeoXiHei特殊符号支持：易经、麻将、象棋符号全解析

Linux驱动入门-设备树DTS

Loom协程的“幽灵权限”有多危险？——基于Banking系统压测发现的3类零日上下文泄露漏洞（附ASM字节码级防护补丁）

MedGemma-X临床提示词工程：提升病灶检出率的10类高质量提问模板

企业级Blazor微前端落地失败率高达63%！你缺的不是文档，而是这4个被微软内部禁用的“伪最佳实践”

intv_ai_mk11惊艳案例：用‘分点说明’指令生成直播复盘报告，覆盖数据/话术/节奏

设计系统已死？AI时代的两种终极范式对决：Awesome DESIGN.md vs UI UX Pro Max

微信读书笔记如何优雅地融入Obsidian知识库？

Python Bilibili API完整指南：从零开始构建B站数据应用

Pixel Epic智识终端多场景落地：金融/咨询/高校研报自动化实践

10分钟掌握传统中文手写数据集：构建智能识别系统的终极指南

告别iTunes！在Ubuntu 22.04上通过libimobiledevice直接管理iPhone照片和文件

免费跨平台游戏打包神器：轻松将HTML游戏转换为专业桌面应用

从CRNN到BERT：图解BiLSTM如何成为NLP经典模块的‘骨架’

告别手动擦除！用Mimics.19的Pulmonary模块5分钟搞定肺支气管三维建模

QuPath选区模式革命：Shift键反选功能如何重塑病理图像标注工作流

Windows Cleaner：拯救C盘空间的桌面医生

技术债务灾难：行业集体埋雷

LinkSwift：八大网盘直链下载终极解决方案

Effective harnesses for long-running agents翻译

OpenClaw人人养虾：音频与语音

如何在5分钟内掌握PPTist：免费开源在线PPT制作工具的终极指南

从UML到SysML：给软件工程师的系统思维升级指南（含实战案例拆解）