使用winhex手动合并与分离文件

机
计算网络安全技术
计算机
使用winhex
手动合并与分离文件
面对一个合并文件的二进制流，如何找出哪里是前一个文件结尾，哪里是后一个文件的开头。

可以联想到文件头标志，这方面的知识，利用不同类型的文件头标志，做为分离的依据。

以word文档为例，word文档稍微复杂一点，这是因为word文档的文件头和压缩文件的文件头
用Winhex打开合并后的文件，查找docx的文件头标志：
壹MS Word/Excel(xlsx.or.docx)，文件头：504B0304贰ZIP Archive(zip)，文件头：504B0304
zip格式的文件头和word的docx一样，这是为什么呢，因为DOCX和XLSX本质上就是一个压缩文件呀。

修改docx后缀为zip等压缩格式，然后用压缩工具解压查看，可以看到清晰的多个文件和目录结构。

过程提示：Array①将合并后的文件，根据文件头标
志，手动搜索，找到另一个文件
头，手动分离。

查看分离后的2个
文件是否能正常查看。

查找菜单，“搜索”－“查找十六进
制数值”
保存为2.docx，打开后看到之前写入的flag。

1.1实验案例
使用winhex手动分离，找到flag
dfg-05D1.jpg
dfg-05D2.jpg
2.1实验案例
①新建一个word文档，写下flag。

②找一张图片，用winhex打开，
③新建一个word文档，写下flag，并保存，
④用winhex打开此word文档，将word文档的二进制流复
制到图片文件的尾部
⑤使用图片查看器观察是否能正常浏览。

⑥使用binwalk工具扫描，然后分离，看是否能成功分离。

也可以使用copy命令，linux cat命令进行合并。

使用binwalk扫描，得知文档类型
根据类型，使用dd从指定字节处分离出文件。

谢谢观看
计算机。