stringsしてみる
お約束?ということで、strigns した場合、poc.jpg では x という文字がずらずらと表示されるので、おかしいということに気がつくと思います。
$ ./sstrings poc.jpg
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
以下省略
試しに、[Full-Disclosure] MS04-028 Exploit PoC II - Shellcode=CreateUser X in Administrators Group*1 で流れたやつで作った画像*2だとこんな↓感じ。
$ ./sstrings CreateUserX.jpg
JFIF
Ducky
Adobe
&2BBBB&.>55555>
$.' ",#
(7),01444
'9=82<.342
!22222222222222222222222222222222222222222222222222
$3br
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz
#3R
&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
以下略
とはいえ、画像を全部 strings で調べていくのはちょっとアレですね。
やはりキーワードとなる文字列(FF FE 00 01)を持つ画像ファイルを検索したほうがいいのかなぁ。
*1:http://lists.netsys.com/pipermail/full-disclosure/2004-September/026783.html
*2:ペイントとかでは開けないので、壊れた画像ということになるのかな?