前言

Wireshark（前称Ethereal）是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包数据。在过去，网络数据包分析软件是非常昂贵，或是专门属于营利用的软件，Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下，用户可以以免费的代价获取软件与其代码，并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。

RAR伪加密二进制详解指的是一种对RAR文件进行加密的方式，其并不是真正的加密，而是在文件头部添加一段伪加密的二进制数据，从而欺骗RAR解压软件，使其无法正确解压。下面是对这种方式的详细解释：

RAR是一种常用的归档文件格式，其文件头部包含了许多元数据信息，包括文件名、压缩方式和加密信息等。RAR文件可以通过RAR解压软件进行解压，但是如果在文件头部添加了一段伪加密的二进制数据，就会使得解压软件无法正确解压文件，进而导致文件无法被访问。

伪加密的二进制数据通常会被添加到RAR文件的文件头部，其格式如下：

52 61 72 21 1A 07 01 00（16进制表示）

其中，前两个字节“52 61”表示RAR文件的标识符“Rar!”，后面的“21”表示RAR文件的版本号，接下来的“1A 07”表示RAR文件的特征标识，“01 00”表示RAR文件的压缩方法为“存储”，即不进行压缩。在这段数据的末尾，可以添加一些随机的数据，以增加解压软件破解难度。

虽然伪加密无法真正对RAR文件进行加密，但是对于一些普通的用户来说，其仍然可以有效地保护文件不被访问。但是，一些高级的RAR解压软件可以检测伪加密并对其进行破解，因此并不建议将其作为安全保护手段使用。

一、嗡嗡嗡

1.打开题目

2.解题

1、搜索flag发现flag.txt文件，所以post请求二次过滤

http.request.method==POST

不难发现，里面出现了一个fly.rar文件。

下面还有5个一样发送地址的包，看了一下，好像有很多字符，感觉是fly.rar文件的内容，所以得将这5个包拼接起来，5个包总长度为：131436 * 4 + 1777 = 527521

实际rar文件大小： 525701

所以文件头大小为：527521 - 525701 = 1820

1820 / 5 = 364

2、选择这5个包文件进行导出

先选择文件，导出对象，HTTP

保存到一个文件夹之后， 3、放到kali虚拟机里，进行文件分割，把文件头部分清除之后进行合并。

dd if=1 bs=1 skip=364 of=01
dd if=2 bs=1 skip=364 of=02
dd if=3 bs=1 skip=364 of=03
dd if=4 bs=1 skip=364 of=04
dd if=5 bs=1 skip=364 of=05

开始分割文件

4、合并文件

cat 01 02 03 04 05 > fly.rar

5、解压文件

发现打不开，进行winhex查看文件

发现是4是伪加密，改成0 解压文件 得到flag.txx但是打开文件是二进制文件修改后缀名为exe

6、分离exe文件

使用foremost进行文件检测和分割

foremost -i flag.exe

 扫描二维码

得到flag：flag{m1Sc_oxO2_Fly}