note

010

docx文件头也是50 4B 03 04，可以改后缀直接变成zip

CRC值

python脚本或工具

伪加密

VOL

vol -f D:\CTF\ windows.info

vol -f D:\CTF\ windows.cachedump

vol -f D:\CTF\ windows.hashdump

vol -f D:\CTF\ windows.pslist

vol -f D:\CTF\ windows.lsadump

vol -f D:\CTF\ windows.filescan

vol -f D:\CTF\ windows.netscan

kali

foremost -t [文件格式] -i 目标文件 -o 输出目录

#同时搜索多种文件

foremost -t jpg,png,gif,zip,rar -i data.pcapng -o mixed_output

jpg,gif,png,bmp # 图片文件
pdf,doc,xls,ppt # 文档文件
zip,rar,7z,tar,gz # 压缩文件
exe,dll # 可执行文件
mp3,mp4,avi,wmv # 多媒体文件
html,htm # 网页文件

#查看文件大小

ls -lh [目标文件]

#查看文件类型

file [目标文件]

#查看小型文件

cat [目标文件]

fcrackzip破解密码

fcrackzip -b -c 1 -l 4-8 -u secret.zip

-b:暴力破解模式 -c:字符串(a=小写字母，A=大写字母，1=数字，!=特殊字符，可组合如 -c a1 表示小写字母+数字) -l:密码长度(范围)

-u:使用 unzip 实际解压测试密码是否正确（避免误报）

。

http.request.method==POST 过滤post数据