目录
一、隐写分析
1.1、介绍:
1.2、隐写分析/密码分析
1.3、 隐写分析
1.3.1、简介:
1.3.2、eg:
1.3.3、发现:
二、异常分析
2.1、对比
2.2、文件属性
2.3、注:
三、隐写分析工具
3.1、介绍
3.2、原理:
3.2.1、第一步:发现可疑点
3.2.2、第二步:人工干预分析
3.2.3、第三步:获取隐藏信息
3.2.4、注:
四、免费软件
4.1、StegSpy
4.1.1、简介:
4.1.2、下载、使用方法、问题:
4.1.3、原理
4.1.4、利用
4.2、Stegdetect
4.2.1、介绍:
4.2.2、原理:
4.2.3、下载、使用:
五、使用方法:
5.1、第一步:将测试文件和Stegdetect.exe文件放一起
5.2、第二步:打开命令提示符并进入文件夹里
5.3、第三步:检测文件
5.4、第四步:结果分析
六、相关命令:
6.1、模板:
6.2、命令:
6.3、对隐写工具的检测
七、特殊设置
7.1、*作用
7.2、批量操作
7.3、敏感度配置
7.4、总结:
(细节)
一、隐写分析
1.1、介绍:
隐写分析就是通过隐写技术或软件对隐藏的数据进行检测和取证的过程, 可能的话, 还会提取出被隐藏的载荷。 如果被隐藏的载荷是加密过的, 那么隐写分析就要对其进行破解。
1.2、隐写分析/密码分析
隐写分析和密码分析的一个重要的分界线, 并且通常让人感到困惑。 典型情况下,在处理隐写问题时, 必须首先执行隐写分析才能进行密码分析。 理想情况下检查人员都想获取被隐藏的载荷, 但他必须认识到这个过程有两步, 而每一步都有很高的技术含量。 检查人员如果事先不知道文件中包含了隐藏载荷, 就无法破解载荷的内容。
1.3、 隐写分析
1.3.1、简介:
隐写分析的使用方法取决于隐藏数据时采用的技术。
隐藏数据有可能散落在整个载体文件中, 但是除了隐藏数据外, 隐写程序还会留下其他痕迹, 不知道这是有意还是无意为之。 通常留下痕迹是为了让接收者在提取隐藏数据时还使用同一个程序, 程序本身就可以判断文件中是否包含隐藏数据。
1.3.2、eg:
Hiderman隐写程序在载体文件的末尾追加了三个ASCII码”CON”
1.3.3、发现:
这些痕迹通常被认为是一种签名,渗透攻击(exploit)和蠕虫一般都会有一个和攻击技术含义相同的字符串。这些字符串常用来创建入侵检测系统的签名。当恶意代码或病毒通过 线传播时,IDS能够检测到并通知管理员。同理,隐写签名也是如此。隐写分析扫描工具维护着一个签名库,每个签名对应一个已知的隐写程序。这使得在可疑设备上扫描文件来检测隐藏数据的过程变得快速而高效。
还有些扫描工具可以通过扫描一台设备 , 检测其中是否安装或者曾经安装过隐写程序, 具体的扫描内容可以是可执行的隐写程序本身、 安装文件或者注册表信息。值得注意的是 , 这是另一种检测形式, 但可以说并不是一种隐写分析形式。 隐写分析是识别隐藏信息的过程, 而不是检测设备中是否安装隐写程序的过程。
面对有超过 200 个隐写程序, 要达到提取隐藏信息的目的是很困难的。因为每个隐写程序都有自己的隐藏、 加密和密码保护技术。虽然有很多基本的数据隐藏方法, 但是当应用到各种具体的程序时, 实施的方法可能大相径庭。 例如, 很多基本的数据隐藏方法, 在进行隐写分析和隐藏内容检测时都需要进行逆向操作。
二、异常分析
2.1、对比
异常分析会用到检测相似文件的对比技术, 如果没有文件可以用于对照, 还会采用一 些分析技术来发现文件的其他异常特征。
2.2、文件属性
仅凭肉眼 , 要发现相似两幅图像的差异是不可能的
如果同时具有原始载体文件和修改后的文件, 那么文件属性差异的识别很容易,通过简单的校验和和目录列表,可以很快发现二者的不同,通过目录列表,我们可以发现两个文件的具体差异。
文件大小和创建时间是不同的。
通过简单的校验和, 我们也可以发现两个文件的内容是不同的。
2.3、注:
(没有一个动作是多余的)
有些隐写程序在文件中嵌人隐藏信息的同时, 可以不改变文件大小和创建时间。 这时, 查看两个文件的校验和, 即可发现二者的不同。
三、隐写分析工具
3.1、介绍
免费软件和商用软件可供执行隐写分析时使用。 很多免费工具只能检测出种类有限的隐写程序。 商用工具则更全面, 可以检测出大批隐写程序。除了检测范围的全面性外, 具有相同的工作原理。
3.2、原理:
3.2.1、第一步:发现可疑点
检测文件的某些信息, 据此判断其中包含隐藏内容的, 就标记为可疑文件。 然后, 将可疑文件寄存起来以便后续进行深度分析。
3.2.2、第二步:人工干预分析
分析环节可以是半自动半手工的, 大多数先进的工具都允许人工查看数据进而分析发现异常特征。不同的隐写程序使用不同的数据隐藏技术, 而且, 同一程序的不同版本应用的数据隐藏技术也会有所改变。 这就增加了隐写分析过程的复杂度。 为了增加隐写分析的难度, 一些隐写程序在隐藏数据时还使用了不同的加密技术, 并且支持多种文件格式。 进行隐写分析时必须能够区分所有差异, 才能准确识别数据隐藏使用的具体程序和版本。在获得隐写程序名称和版本后, 就可以进入下一步了。
3.2.3、第三步:获取隐藏信息
将隐藏技术进行逆向工程并最终得到隐藏信息。
3.2.4、注:
在进行隐写分析时常常使用多个 工具, 因为误 和漏 经常同时发生, 所以使用多个工具可以使分析更加准确。
四、免费软件
商用软件比大多数免费和开源的隐写分析工具更新频率快,
免费和开源的都比较有针对性, 只能检测数量有限的隐写程序和含有隐藏载荷的载体文件, 每个工具都有其用武之地。
4.1、StegSpy
4.1.1、简介:
StegSpy是一个用于检测隐藏信息的签名分析软件。
很多隐写程序都有个共同的趋势,就是除了隐藏信息外,这些程序还会在文件中嵌入某种形式的指纹或者唯一标识隐写程序本身的字符串。例如,前面提到过的Hiderman,会在载体文件尾部追加”CDN”这3个ASCII码。使用这个签名技术,创建一个签名库,并最终编写了一个实现签名分析自动化的程序。
4.1.2、下载、使用方法、问题:
安装方法很简单, 安装程序是一个独立的可执行文件, 复制到本地后直接运行
4.1.3、原理
分析可疑文件的过程:
首先将可疑文件与预定义的签名列表对比来发现隐藏内容
如果发现了隐藏的内容则上 隐藏数据使用的隐写工具和隐藏数据在文件中的起始位置。
4.1.4、利用
识别隐藏内容的起始位置仅仅是 StegSpy 检测过程的其中一步而已
如果文件内容被加密了, 还必须破解密码, 或者逆向工程加密的数据。 发现了隐藏内容的存在,并分析出了隐写使用的工具和隐藏内容所在的位置。
4.2、Stegdetect
4.2.1、介绍:
Stegdetect程序主要用于分析JPEG文件。 因此用Stegdetect可以检测到通过JSteg、JPHide、OutGuess、Invisible Secrets、F5、appendX和Camouflage等这些隐写工具隐藏的信息。
Stegdetect 通过统计测试来分析图像文件中是否包含隐藏内容。 它运行静态测试以判断隐藏的内容是否存在。 此外, 它还会尝试识别隐藏内容是通过哪个隐写工具嵌入的。
4.2.2、原理:
JPEG和MPEG格式使用离散余弦变换(DiscreteCosine Transform, DCT)函数来压缩图像。 这个图像压缩方法的核心是: 通过识别每个8×8像素块中相邻像素中的重复像素(如果是MPEG文件的话, 就是识别一系列图像中相邻帧中的重复帧)来减少显示图像所需的位数, 并使用近似估算法降低其冗余度。
我们可以把 DCT 看作一个用于执行压缩的近似计算方法。 因为丢失了部分数据, 所以 DCT 是一种有损压缩技术, 但一般不会影响图像或视频的视觉效果。
Stegdetect 的目的是评估JPEG文件的 DCT 频率系数, 把检测到的可疑JPEG文件的频率与正常JPEG文件的频率进行对比。 频率对比结果的偏差很大则说明被检查文件存在异常, 这种异常意味着文件中存在隐藏信息的可能性很大。
4.2.3、下载、使用:
五、使用方法:
5.1、第一步:将测试文件和Stegdetect.exe文件放一起
5.2、第二步:打开命令提示符并进入文件夹里
win+R
cmd回车
进入到Stegdetect文件夹里面
5.3、第三步:检测文件
执行Stegdetect.exe检测
①.Stegdetect.exe -tjopi -s 10.0 test.jpg
test.jpg : negative(否定)
应该是没找到
②.Stegdetect.exe -tjopi -s 10.0 1.jpg
Corrupt JPEG data: 2684 extraneous bytes before marker 0xbf
1.jpg : error: Unsupported marker type 0xbf损坏的JPEG数据:2684个小字节在标记之前0xbf之前
1.JPG:错误:未支撑的标记类型0xbf
5.4、第四步:结果分析
损坏的第2684个字节的位置,应该被插入了数据
但是未检测出对应的软件
六、相关命令:
6.1、模板:
stegdetect [ nV] [ float] [ num] [ tests] [file …]
6.2、命令:
-q:仅显示可能包含隐藏内容的图像
-n:启用检查JPEG文件头功能, 以降低误 率。 如果启用, 所有带有批注区域的文件将被视为没有被嵌入信息。 如果JPEG文件的JFIF标识符中的版本 不是1.1, 则禁用OutGuess检测。
-s:修改检测算法的敏感度, 该值的默认值为1。 检测结果的匹配度与检测算法的敏感度成正比, 算法敏感度的值越大, 检测出的可疑文件包含敏感信息的可能性越大。
-ct:打印带行 的调试信息。
-v:显示软件的版本编 。
-d num:打印调试信息。
6.3、对隐写工具的检测
-t:设置要检测哪些隐写工具(默认检测j opi), 可设置的选项如下:
-j:检测图像中的信息是否是用jsteg嵌入的。
-0:检测图像中的信息是否是用OU七 guess嵌入的。
-p:检测图像中的信息是否是用jphide嵌入的。
-i:检测图像中的信息是否是用 invisible secre七s嵌入的
七、特殊设置
7.1、*作用
如果检测结果显示该文件可能包含隐藏信息, 那么 Stegdetect 会在检测结果后面使用1-3 颗星来标识隐藏信息存在的可能性大小, 3 颗星表示隐藏信息存在的可能性最大。 待续的研究分析表明 Stegdetect 对高质量的数字图像的检测效果更佳, 比如用数码相机拍摄的照片。
列出了在目录中的每个 JPEG 文件的检测结果, Stegdetect 在隐写工具后面用星 数量标识分析的准确率。
7.2、批量操作
D:>stegdetect -tjopi -s10.0 *.jpg
7.3、敏感度配置
由于保持了默认参数, 敏感度 (sensitivity) 的值为 1。请务必调整敏感度, 否则会像下面的结果一样, 未检测到隐藏信息的几率会很高。 把敏感度由 1.00 改成 10.00, 那么检测的结果就更准确了
7.4、总结:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!