GIF与视频帧分析

本文适合

拿到 GIF、APNG、MP4、AVI、WebM 或动态图片后，需要分析帧、时间、透明层、音轨和容器结构的 Misc 学习者。学完你能：把动态文件拆成帧序列，验证帧差、帧延迟、帧重组、音轨和容器隐藏，并给出可复现提取过程

GIF 和视频题的核心是“时间维度”。单帧看不出问题时，信息可能藏在帧顺序、帧差异、透明层、时间间隔或累计效果里。

一句话判断

动态文件单帧看不出异常时，按“拆帧、看差异、看时间、看透明层、看音轨、看容器”的顺序处理，不要只截图第一帧。

可以先按这条流程排查：

题目中常见信号

GIF/视频播放正常但题目提示“瞬间”

说明：某帧可能短暂出现内容

第一动作：拆帧并逐帧查看

相邻帧几乎相同

说明：信息可能在像素差分

第一动作：做帧差或累计差异

帧延迟不规律

说明：时间间隔可能编码

第一动作：导出 delay/timestamp

透明背景或闪烁

说明：透明通道或处置方式藏信息

第一动作：关闭透明或看 Alpha

视频有声音

说明：flag 可能在音轨

第一动作：提取音轨转 音频频谱与DTMF

容器体积异常

说明：MP4 atom/GIF extension 可能藏数据

第一动作：exiftool、binwalk、ffprobe

核心概念

GIF 和视频比静态图片多了时间轴。隐藏信息可能分布在：

• 帧内容：某几帧出现文字、二维码、像素点。
• 帧差异：相邻帧变化区域组成图案。
• 帧属性：延迟时间、透明色、处置方式、调色板顺序。
• 帧顺序：需要按索引、时间戳或提示重排。
• 媒体轨道：音轨、字幕轨、附件和 metadata。

最小分析流程

1. 用 file、exiftool、ffprobe 确认格式、帧率、时长、轨道和元数据。
2. 拆帧，先看首帧、尾帧、异常帧和关键帧。
3. 对相邻帧做差分，对所有差分做累计，观察是否出现图案。
4. 导出帧延迟或时间戳，检查是否能转成二进制、ASCII 或摩斯。
5. 如果有透明层，分离 Alpha 或禁用透明混合后重新看帧。
6. 视频要提取音轨、字幕、附件，再分别转对应文章。
7. 如果拆出的帧本身是图片隐写，转 图片像素与LSB。

最小验证示例

file challenge.gif
exiftool challenge.gif
identify -verbose challenge.gif | Select-String "Delay|Scene|Geometry"

# 拆 GIF 帧
magick challenge.gif frames/frame_%03d.png

# 拆视频帧和音轨
ffprobe -hide_banner challenge.mp4
ffmpeg -i challenge.mp4 frames/frame_%05d.png
ffmpeg -i challenge.mp4 -vn audio.wav

帧差最小脚本：

from PIL import Image, ImageChops
from pathlib import Path

frames = sorted(Path("frames").glob("frame_*.png"))
acc = None
prev = Image.open(frames[0]).convert("RGB")

for p in frames[1:]:
    cur = Image.open(p).convert("RGB")
    diff = ImageChops.difference(prev, cur)
    acc = diff if acc is None else ImageChops.lighter(acc, diff)
    prev = cur

acc.save("frame_diff_acc.png")

判断依据：

拆帧后某一帧出现文字 -> 短帧隐藏成立
累计差分出现二维码/文字 -> 帧差隐藏成立
delay 序列可转 0/1 -> 时间编码成立

常见利用 / 解题路线

路线总览：

短帧路线

关键证据：个别帧有内容

常用动作：拆帧、筛异常帧

帧差路线

关键证据：相邻帧变化区域有结构

常用动作：difference / XOR / 累计差分

帧延迟路线

关键证据：delay 呈两类或多类值

常用动作：导出 delay，映射二进制/摩斯

帧重组路线

关键证据：每帧一行/一列/一像素

常用动作：按帧序拼接新图

透明层路线

关键证据：Alpha 或 disposal 异常

常用动作：分离 Alpha，改变背景重渲染

音轨/字幕路线

关键证据：视频含额外轨道

常用动作：提取音轨、字幕、附件

容器结构路线

关键证据：atom/extension/metadata 异常

常用动作：ffprobe、exiftool、binwalk

常见失败原因

只看到普通画面

常见原因：信息在短帧或差分里

排查动作：拆帧并做帧差

差分全是噪声

常见原因：阈值、压缩噪声或帧率影响

排查动作：二值化、筛关键帧、累计差分

延迟编码读不出

常见原因：导出单位或播放器归一化

排查动作：用 identify -verbose 取原始 delay

透明内容看不见

常见原因：背景混合遮住了信息

排查动作：换背景或单独提取 Alpha

视频拆帧无结果

常见原因：flag 在音轨/字幕/metadata

排查动作：ffprobe 查轨道并导出

重组图错位

常见原因：帧顺序或尺寸关系理解错

排查动作：记录帧数、宽高，尝试转置/反向

迷你案例

题目给 blink.gif，播放时什么也看不清。先拆帧：

magick blink.gif frames/frame_%03d.png
identify -format "%s %T\n" blink.gif

发现 delay 只有 5 和 20 两类。把 5 映射为 0、20 映射为 1，每 8 位转 ASCII 得到 flag{delay}。如果只截图第一帧，这条线索会完全丢失。