winhex在ctf中简单的使用

winhex简介

WinhexX-Ways公司出品的一款 十六进制编辑磁盘编辑软件,其公司网站对其功能介绍如下:

  • 可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑
  • 支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统
  • 可支持重组RAID及动态磁盘
  • 附带数据恢复功能
  • 可以访问物理内存及虚拟内存
  • 内置数据解释器,可以识别解释20种数据类型
  • 可以用数据结构模板查看、编辑结构数据
  • 可以分割与合并文件
  • 可以对文件进行分析与对比
  • 具有灵活的搜索和替换功能
  • 可以对磁盘进行克隆
  • 可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理
  • 具有编程接口,支持脚本操作
  • 支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算
  • 支持对磁盘进行数据安全销毁
  • 包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集
  • 支持文件大小超过4GB

从上面官网介绍可以看出:winhex功能非常丰富,也很强大,具体的功能使用介绍这里就不说了,童鞋们有兴趣可以去 安恒萌新粉丝群:928102972群文件下载 《最完整的winhex教程集合+winhex数据恢复入门使用教程》工具(X-WaysWinHex19.6-SR0 x86/x64绿色汉化版)

这里就谈谈winhex在CTF中的简单应用,欢迎各位大佬在评论区发表高端的操作技巧或者经验分享。

十六进制编辑

这个功能也是最常用的,ctf中经常会用来 查看十六进制数据和ascii码修改文件头修改图片IHDR等。

查看十六进制数据和ascii码

把目标文件直接拖进 winhex或者 文件——>打开——>选择要打开的文件

会有些送分题,打开直接 ctrl+f,输入搜索 flag,会有意想不到的惊喜

这里也就比直接给flag多了个ascii编码

修改文件头

在CTF经常会遇到 打开文件错误或者 无法打开文件,但是又已知 文件格式后缀的 可以检查一下文件头或者文件尾是否完整。 常见文件文件头文件尾格式总结及各类文件头

例如下面这题:

发现这个gif文件打开错误,发现缺少文件头。 光标点击第一个字符处,点击 编辑——> 粘贴0字节——>在弹窗中输入0字节数的输入框里输入 4——>确定

发现多了4个字节的空位,然后点击十进制值 00,依次在键盘里输入gif的文件头 47494638,然后点击保存

发现图片可以正常打开了

然后用一些看图软件或者gif编辑工具,逐帧查看记录下flag即可 这里推荐一个在线转换编辑gif的工具https://ezgif.com/功能很丰富。

修改图片IHDR

文件头数据块IHDR(header chunk):它包含有PNG文件中存储的图像数据的基本信息,并要作为第一个数据块出现在PNG数据流中,而且一个PNG数据流中只能有一个文件头数据块。 文件头数据块由13字节组成,它的格式如下表所示。

有时候我们拿到的图片可能是显示不完全的

这里查看到十六进制高度值

这时候就可以去尝试修改IHDR中的宽高值。这里只要修改高度值为 027F

最终效果

修改软件界面名字

这个也可以用很多资源工具实现,比如 reshack,用winhex手动也可以实现 前提: 确定原始的软件被替换的文字,必须是软件存在的,而且替换文字长度不能比被替换文字长,否则程序就可能被破坏了,可能导致程序无法正常运行哦。 这里我拿 godofhack演示,对就是这个屌炸天的工具,黑客神器,谁用谁知道!

这里把 一键锤爆出题人的头改成 安恒大学是最可爱的

首先查询出这些文字的ASCII编码值

一     键     锤     爆     出     题     人     的     头
0x4e00;0x952e;0x9524;0x7206;0x51fa;0x9898;0x4eba;0x7684;0x5934;
安     恒     大     学     是     最     可     爱     的
0x5b89;0x6052;0x5927;0x5b66;0x662f;0x6700;0x53ef;0x7231;0x7684;

得到了每一个字的编码,我们来组合一下完整的十六进制存储序列。我们不看0x,每一个编码只剩下4个数字,后面两位放在前面,前面两位放在后面,那么 一键锤爆出题人的头的完整的十六进制序列为 004e2e9524950672fa519898ba4e84763459替换成 895b52602759665b2f660067ef5331728476 最终效果如下

修改其他字符也是一样的原理。

其他

CTF还会遇到一些几个文件合并成一个的,那种可以用 File_Analysis这个工具简单分析一下,然后打开winhex搜索文件头尾讲数据块复制出来另存实现文件分离。linux里可以用binwalk -e 文件名。 还有一些 修改软件界面名字内存编译磁盘编辑数据恢复等更高级的功能就让小伙伴们自行探索吧

文中用到的附件:https://pan.baidu.com/s/1nYwzHlXSYhZGMqN3yLmRmQ

(0)

相关推荐

  • 图片隐写

    0x1常见隐写类型: [以下题目多来源于各大ctf题库或网站,仅修改了文件名以便于讲解] 1.利用binwalk工具分离图片 2.stegsovle工具的利用 3.txt简单隐写 4.关键字搜索 5. ...

  • wireshark之文件还原

    实验目标: 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息.无意之中,他发现有人在某个网站上上传了一份文件.但是他不知道怎么样通过wireshark去还原这份文件,没办法 ...

  • CTF|Misc-Crymisc

    前言 最近在学习CTF中MISC类题目的解题技巧,并复盘了今年8月底GACTF比赛中的题目-crymisc,这道题里面包含了MISC题目中经常遇到的考点(文件头类型判断.压缩包文件伪加密.图片藏文件. ...

  • 常见图片宽高解析

    于比较常用的图片格式Png.Jpg.Gif.Bmp,我们需要针对不同的图片格式使用不同的控件来显示,这里就有一个来解析图片格式的问题.我们不能单纯的用文件后缀名.png..jpg..jpeg..gif ...

  • ctf中关于syscall系统调用的简单分析

    0x01 我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn2019s_3 为例,给大家详细 ...

  • 低血糖导致难治性癫痫?原因远没有想象中简单!

    *仅供医学专业人士阅读参考 未见明显占位效应的垂体瘤是癫痫的病因吗? 癫痫是神经科的常见疾病,但癫痫发作也可能与内分泌疾病有关.在以下Kumawat BL等发表在BMJ子刊中的一则案例中[1],青年女 ...

  • TVB新剧《婚姻合伙人》剧情过半,发现这部剧没有想象中简单!

    近几年TVB的剧大概可以分为3种,大中小制作,大制作相信大家都比较熟悉的,通常都是一些合拍剧跟台庆剧之类的,投入资源较多演员阵容豪华,集数一般都是30集,比方说完结没多久的<铁探>,还有未 ...

  • Winform中简单使用MD5加密用户登录密码

    场景 MD5加密登录密码效果 注: 博客主页: https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书.教程推送与免费下载. ...

  • 缠论理论中简单走势类型的图解和释义

    学缠的旅程很艰辛,并非象很多人想象的那样,看几本书,听几个讲座,做几次练,就能学会的,我相信最后能融会贯通的仅仅很少很少的人,而大部分人都会在达到终点的路途中选择放弃,我也相信即使有些人再努力,恐怕也 ...

  • 抛弃感性认知,用数学理性来处理乒乓球,比赛中简单实用的小窍门

    在乒乓球比赛中"凶"和"稳"往往是矛盾的两个方面,前者意味着回球给对手的威胁性加大,后者意味着回球更可能上台.很多乒乓球爱好者往往看不清其中的内在联系,一味求& ...

  • 太极拳中简单平常的功夫绝技

    太极拳的一些基本功好像许多年轻的功夫爱好者都不太喜欢,以为见效慢.别急,看了下面介绍的几种功夫,你就会改变'想法! (一)猫步太极拳行拳走架时,凡是涉及开步移动的情况,都离不开猫步.拳经云" ...

  • 太极拳中简单的功底绝技

    作者:雅琴                          太极拳的一些基本功好像许多年轻的功夫爱好者都不太喜欢, 以为见效慢.别急,看了下面介绍的几种功夫,你就会改变想法! (一)猫步:太极拳行拳 ...

  • 【戒毒百科】K粉正在吞噬你的前列腺,危害远不只你想象中简单

    许多K粉成瘾患者向反应,吸食一段时间K粉后,感觉身体不适,尤其是小便次数增加,并伴有疼痛.康达戒毒专家回应,这是有K粉导致的泌尿系统疾病,疼痛等症状可能是前列腺炎的表现,其危害不容小觑. 前列腺炎是多 ...