LSB隐写

LSB即最低有效位

png图片是一种无损压缩的位图片形格式，也只有在无损压缩或者无压缩的图片（BMP）上实现lsb隐写,jpg图片对像数进行了有损压缩，我们修改的信息就可能会在压缩的过程中被破坏。

png图片由RGB三原色红绿蓝组成，每一种颜色占用8位，取值范围为0x00~0xFF，即有256种颜色。
LSB隐写就是修改RGB颜色分量的最低二进制位也就是最低有效位，每个像数可以携带3比特的信息。

解题方法

把图片拖进stegsolve,选中red,green,blue的最低0位，然后右侧选中LSB First，然后Save Bin

lsb.png

以记事本形式打开文件，就可以找到flag了

ntfs隐写

NTFS交换数据流（ADS）简介

在NTFS文件系统中存在着NTFS交换数据流（Alternate Data Streams，简称ADS），这是NTFS磁盘格式的特性之一。每一个文件，都有着主文件流和非主文件流，主文件流能够直接看到；而非主文件流寄宿于主文件流中，无法直接读取，这个非主文件流就是NTFS交换数据流。
ADS的作用在于，它允许一个文件携带着附加的信息。例如，IE浏览器下载文件时，会向文件添加一个数据流，标记该文件来源于外部，即带有风险，那么，在用户打开文件时，就会弹出文件警告提示。再如，在网址收藏中，也会附加一个favicon数据流以存放网站图标。
ADS也被用于一些恶意文件隐藏自身,作为后门
学习戳https://www.cnblogs.com/Chesky/p/ALTERNATE_DATA_STREAMS.html

提取隐藏文件

通过看了一些资料，找到了Ntfs Streams Editor这个工具，可以扫描到可疑文件

977035-20161116005326607-289849401.png

ntfs.PNG