字体文件相当于键盘字符到显示点阵字符的映射,通过修改字体文件中映射关系,可以很好的隐蔽一些信息进去,在大量冗余的文件中,字体文件也是最容易被忽视的,隐蔽性很强。
但有没有隐藏字体文件最好的媒介呢?
我们都知道office套装从xx的版本,引入了可嵌入字体的保存方式,生成的文档用winrar打开,会发现嵌入的字体均被重命名排列好
首先这就很好的把字体文件隐蔽起来。
当我们用office打开时
字体就悄无声息的出现在列表中,win自带的字体很多,对于不经常使用各种字体的人,这些字体就很好的隐藏在这个列表中。
一个例子:
这是我改好的字体映射
当用户用该字体输入f的时候就会输出l,输入l输出a.....以此类推,一个隐藏的flag明文串就被显示出来了
同样,我们可以扩展字符集,将一些编码连续的不常用的unicode字符替换成想要的明文。将字体文件提取出来,用字体编辑器打开就可以查看到隐藏信息。
当然,office自定义字体目前还是只支持win下,mac就会直接弹出不支持的字体。
那这类隐写怎么快速定位找到呢?
首先,嵌入字体的媒体文件一般都会略大于或者远大于正常媒体文件的大小,比如我这个ppt,原始大小为4M,嵌入字体就变成30M了。
其次,嵌入字体首先是有利用该字体,如果发现ppt使用了多种字体,则看一下字体是否有异常。
附上一道隐写样例,enjoy the game 🙂
https://pan.baidu.com/s/1nv9fio5
用支付宝打我
发表评论