Kysymys:
Steganografian havaitseminen kuvista
Chris
2011-02-14 21:17:26 UTC
view on stackexchange narkive permalink

Löysin äskettäin parittoman JPEG-tiedoston: Tarkkuus 400x600 ja tiedostokoko 2,9 Mt. Sain epäilyttävän ja epäilen, että piilossa on joitain lisätietoja. Yritin joitain suoraviivaisia ​​asioita: avaa tiedosto joillakin arkistotyökaluilla; yritin lukea sen sisältöä editorilla, mutta en löytänyt mitään kiinnostavaa.

Nyt kysymykseni: Mitä muuta voin tehdä? Onko käytettävissä työkaluja, jotka analysoivat kuvia piilotettujen tietojen löytämiseksi? Ehkä työkalu, joka etsii tunnettuja tiedostotunnisteita?

Olen samaa mieltä siitä, että on outoa, mutta pidä mielessä, että se on ehkä koodattu hyvin löyhillä JPEG-asetuksilla.
Ei vastausta esitettyyn kysymykseen, vaan todelliseen tilanteeseen: Se ei ehkä ole piilotettua tietoa, vaan piilotettu binäärikoodi, esim. [GIFAR] (http://riosec.com/how-to-create-a-gifar). Katso myös [http://security.stackexchange.com/q/600/33](http://security.stackexchange.com/q/600/33).
@Konrad, epäilen sitä. Jopa kolmella bittillä pikseliä kohden (24-bittinen väri), perusbittikartta olisi vain noin 720 000 tavua. (400 * 600 * 3). Lyön vetoa matkasta kiinalaiseen buffetiin, että siellä on jotain, joka ei liity ilmeiseen kuvaan. @Chris: Lähetä havainnot tai jopa tiedosto, jos osaat siitä.
Viisi vastused:
#1
+49
Mark Davidson
2011-02-14 21:46:49 UTC
view on stackexchange narkive permalink

Steganografian havaitseminen on todella tilastollista analyysiä (ei aihe, jota tunnen kovin hyvin).
Mutta tässä on muutama sivu, jotka voivat auttaa sinua.

Pieni semanttinen asia tässä: Steganografia itsessään ei ole salausta, se on hämärtymistä. Vaikka piilotetut tiedot voidaan tosiasiallisesti salata, se ei ole välttämätön osa steganografiaa, jotta se olisi niin.
Olet oikeassa Iszi, korjaan sen.
Toinen ääni Stegdetectistä täällä. Se toimii todella hyvin.
Toimiiko Stegdetect edelleen vai onko se rikki? Saan paljon kokoamisvirheitä Ubuntu 14.04: ssä
Stegdetectiä ei jatketa ​​enää ja kotisivu on poissa käytöstä.
#2
+14
iivel
2011-02-14 22:28:39 UTC
view on stackexchange narkive permalink

Toistan Stegdetectin suosituksen: tässä on toinen hyvä tietolähde http://www.outguess.org/detection.php sekä lataukset stegbreakille ja XStegille

Voit mennä suoraan tutkimuksen lähteeseen, jos olet kiinnostunut. Neil Provosin sivu on täällä http://www.citi.umich.edu/u/provos/stego/

#3
+11
user502
2011-02-16 02:36:39 UTC
view on stackexchange narkive permalink

Muissa täällä olevissa vastauksissa on hienoja yleisiä viitteitä, joten annan vain joitain tilanteeseesi liittyviä tietoja:

Kun piilotat tietoja kuvissa muuttamatta tiedostokokoa, laitat sen matalamääräiset bitit; tämä voidaan havaita avaamalla editorissa, jossa on histogrammi, ja etsimällä rosoisia reunoja. Mutta tämä kuulostaa tiedoston yhdistämisestä kuvaan; * chan-asukkaat käyttävät tätä tekniikkaa usein laittomien tiedostojen levittämiseen. Tiedostojen allekirjoitusten etsiminen ensimmäisen jälkeen - sanotaan, että käytetään 'grep -a' -luetteloa tunnettujen tiedostotyyppisten taianumeroiden kanssa - pitäisi paljastaa tämä tekniikka. Salaus ja steganografia yhdistelmä on tämän kommentin ulkopuolella: D

salausta ja steganografiaa ei todellakaan tarvitse piilottaa tällaiselta haulta. jokin tavara voidaan pakata esimerkiksi `` * .tar.gz` '-arkistoon ja poistaa sen otsikko (osa, joka ei sisällä mitään tietoa, jota todella tarvitaan sen takaisin purkamiseen).
#4
+6
Steven
2011-10-29 18:17:44 UTC
view on stackexchange narkive permalink

Se on luultavasti vain JPEG: n loppuun liitetty tiedosto. Etsi EOF tai tunnetun otsikon alku, kuten PK RAR PE jne.

#5
+4
JimboJ3ts3t
2014-03-03 15:16:56 UTC
view on stackexchange narkive permalink

Huomaa, että alla oleva kommenttini koskee LSB (vähiten merkittävä bitti) -steganografiaa eikä JPEG- (DCT) tai liitteenä olevaa steganografiaa.

" Steganografia ei muuta tiedoston kokoa merkittävästi "tämä on väärin. Jos otan pakatun JPEG-kuvan ja käytän LSB-steganografiaa, tuloksena oleva levykuvan koko kasvaa 'merkittävästi', koska LSB-steganografiaa käyttävät kuvat PITÄÄ tallentaa häviöttömässä muodossa, kuten bmp tiff tai png. Olen kirjoittanut ohjelmiston, joka ottaa minkä tahansa kuvamuodon (kuten JPEG), piilottaa siinä olevat tiedot ja tallentaa PNG: hen. Usein voin avata JPEG-koon, jonka koko on 60 kt, ja pystyn piilottamaan siihen yli 100 kt: n datan. Tuloksena oleva png näyttäisi identtiseltä alkuperäiseltä JPEG: ltä, mutta sen tiedostokoko on 800 kt +.

Kun analysoit kuvia LSB-steganografian sisällölle, sinun PITÄÄ olla joko alkuperäinen kuva vertailtavaksi TAI tunnettava koodausmenetelmä. Ilman kumpaakaan näistä ei KOSKAAN määritetä, sisältääkö kuva piilotettuja LSB-tietoja. Otetaan huomioon, että LSB-steganografian toteuttamiseen on monia tapoja ja lähteeksi valittavan määrän äärettömän määrän kuvia, minkä tahansa steganografisen sisällön määrittäminen ei ole triviaali tehtävä. Sanottu ... KAIKKI LSB-steganografista sisältöä sisältävät kuvat on tallennettava häviöttömästi (ilman pakkausta). Siksi ne voivat erottua kooltaan (tavuina) suuremmiksi kuin mitä muuten voisi odottaa. Jpeg on häviöllinen algoritmi (jopa 0% pakkauksessa), minkä vuoksi LSB-steganografiaa käyttäviä kuvia ei voida tallentaa jpeg-kuvina, joten suuri JPEG-kuvasi ei todennäköisesti pidä LSB-steganografiaa, mutta tämä ei sulje pois muita steganografisia vaihtoehtoja.

Voit tunnistaa LSB-steganografian tilastollisen analyysin avulla, jos tiedät kuvalähteelle tyypillisen LSB-mallin. Esimerkiksi, jos kuva on sarjakuva, jossa on suuria yksivärisiä alueita, tiedät jotain olevan, jos LSB vaihtelee pikselistä pikseliin. Vastaavasti, jos kuva on kamerasta, jonka pikseliarvot ovat vinoja, LSB-arvojen tasainen jakauma on osoitus steganografiasta.
Tämä on väärin.salaus voidaan koodata suoraan JPEG: n DCT-kertoimiin ja pakata tulos tavalliseen tapaan


Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 2.0-lisenssistä, jolla sitä jaetaan.
Loading...