1. JPG文件结构基础二进制视角下的图片解剖第一次用WinHex打开JPG文件时满屏的十六进制代码可能会让你头皮发麻。但别担心这些看似杂乱的数据其实遵循着严格的规范。就像拆解乐高积木只要找到关键连接点整个结构就会变得清晰。JPG文件本质上是由多个段(Segment)组成的二进制序列。每个段就像快递包裹上的标签告诉我们这段数据是什么、有多长、具体内容在哪里。在CTF比赛中常见的隐写手法往往就藏在看似普通的段数据里。我去年参加一场比赛时就遇到过把flag藏在注释段(COM)的情况当时差点错过。理解JPG结构有个重要前提所有数据都是高位在前(big-endian)。这和我们平时用的x86电脑不同。举个例子看到十六进制00 10时在JPG里表示00×256 10 10十进制在x86电脑里会解读为10×256 00 2560用WinHex分析时要注意这个区别。有次我熬夜做题因为忘记这个规则导致计算错误白白浪费两小时。建议在分析时随手用计算器验证避免低级错误。2. 关键段类型详解从文件头到霍夫曼表2.1 文件头与文件尾JPG的起点与终点每个JPG文件都以FF D8开头SOI标记以FF D9结尾EOI标记。这两个标记就像书的封面和封底缺一不可。在CTF中有时会故意损坏这些标记来隐藏信息。我遇到过一道题出题人把多个JPG文件拼接在一起只有正确识别每个文件的SOI/EOI才能提取完整信息。用WinHex搜索FF D8可以快速定位文件起始位置。如果发现文件开头有其他数据比如PK开头很可能是个伪装的zip文件。这种技巧在现实取证中也很常见。2.2 帧开始标记(SOF0)图片的核心参数FF C0标记后面跟着的是图片的关键参数00 11段长度17字节08固定值表示每个样本8位Y轴分辨率2字节比如01 E0 480像素X轴分辨率2字节组件数量固定03表示Y、Cb、Cr三个分量去年我遇到一道题出题人修改了分辨率字段导致图片显示异常。正确的解法是用WinHex把01 E0改为实际的02 80640像素图片就正常显示了。这种考察二进制编辑能力的题目在CTF中很典型。2.3 霍夫曼表(DHT)JPG的压缩密码FF C4标记定义霍夫曼编码表这是JPG压缩的核心。一个标准JPG通常包含4个DHT段2个用于亮度Y分量2个用于色度Cb/Cr分量每个DHT段的结构如下FF C4 [长度] [表信息] [码字数量] [码字值...]表信息字节的高4位表示是DC表(0)还是AC表(1)低4位是表ID0-3。在隐写术中有人会修改霍夫曼表来隐藏数据。检测方法是比对标准霍夫曼表和实际文件的差异。我写了个Python脚本自动完成这个比对在多次比赛中都派上了用场def check_huffman_tables(jpeg_path): with open(jpeg_path, rb) as f: data f.read() # 标准霍夫曼表特征值 std_tables { b\xFF\xC4\x00\x1F: Luma DC, b\xFF\xC4\x00\xB5: Luma AC, b\xFF\xC4\x00\x1F: Chroma DC, b\xFF\xC4\x00\xB5: Chroma AC } for marker in std_tables: if marker not in data: print(f异常缺少{std_tables[marker]}表)3. 实战分析用WinHex解剖JPG文件3.1 逐步解析示例文件让我们用WinHex分析一个实际文件假设文件名为test.jpg打开WinHex拖入test.jpg按CtrlF搜索FF D8确认文件起始位置继续搜索FF C0找到帧开始标记记录接下来的17个字节按前面说的结构解析搜索FF C4定位霍夫曼表检查数量和内容记得把WinHex的显示设置为十六进制视图这样能直接看到二进制数据。有次我忘记切换视图对着ASCII码看了半天都没发现问题这个教训分享给大家。3.2 常见CTF题型解析在CTF中JPG相关的题目主要有这几类文件结构破坏故意修改某些标记或参数需要修复隐写数据在注释段(COM)或应用段(APPn)藏信息双重文件JPG尾部附加了其他文件如zipLSB隐写修改像素最低位存储信息对于第4种可以用Stegsolve工具分析。但前三种都需要直接操作二进制数据。我建议准备几个标准JPG文件作为参考遇到异常时对比分析效率更高。4. 高级技巧自动化分析与故障排除4.1 使用Python解析JPG结构手动分析适合学习但比赛时效率太低。这里分享我常用的Python解析脚本框架import struct def parse_jpeg(filename): with open(filename, rb) as f: data f.read() ptr 0 while ptr len(data): marker data[ptr:ptr2] ptr 2 if marker b\xFF\xD8: # SOI print(找到文件头) elif marker b\xFF\xC0: # SOF0 length struct.unpack(H, data[ptr:ptr2])[0] print(f帧开始标记长度{length}) ptr length # 其他标记处理...这个脚本可以扩展支持更多标记解析。在最近一次比赛中我用类似脚本快速定位了被篡改的DQT量化表段节省了大量时间。4.2 常见问题排查指南遇到JPG解析问题时可以按这个流程检查确认SOI(FF D8)和EOI(FF D9)标记完整检查SOF0段的参数是否合理如分辨率不为0确认有完整的4个DHT段检查文件尾部是否有附加数据特别提醒某些图片查看器会自动修复损坏的JPG这可能导致CTF题目无法正常显示隐藏信息。建议用WinHex或010 Editor这类二进制工具直接分析原始文件。