1、歷史
1)卡爾達諾柵格碼:Spam Mimic使用了柵格密碼。
紙幣水印
隱形墨水
縮影術的間諜相機
2)一個關于利用隱寫術實現攻擊的真實故事。
是從2006年年中開始的一系列持續網絡攻擊。攻擊目標包括至少72個組織,包括國防承包商,世界各地的企業,聯合國和國際奧委會。
2006年黑客實施了第一次攻擊,2008年奧運會開幕之前他們則攻擊了許多體育管理機構。2011年8月,在攻擊了全世界超過70個公司和政府部門后,神秘的“暗鼠行動”終于曝光在世人面前,他們的攻擊目標甚至還包括聯合國的防務承包商。
The details of Operation Shady RAT:看似在這繁雜的過程中只有一兩步涉及圖片隱寫,但它確是這整個過程中最寫意、最核心的一步。經過隱寫的圖片放在最顯眼的網絡中,看似無害,但它CnC(command-and-control命令和控制)卻充當了攻擊者對受害者進行攻擊的橋頭堡,因為隱寫圖片可以隨時更換嵌入的命令,使攻擊者靈活而又隨心所欲的進行各種花式攻擊。當隱寫用在入侵攻擊中,它便顯露出了猙獰的面目。
2、HTML隱寫實例
snow 是一款在html嵌入隱寫信息的軟件,它的原理是通過在文本文件的末尾嵌入空格和制表位的方式嵌入隱藏信息,不同空格與制表位的組合代表不同的嵌入信息。
3、Windows隱寫實例
Windows NTFS 使用交換數據流來存儲文件相關元數據,包括原作者、安全信息及其他一些元數據。是一個簡單有效的隱藏信息載體的渠道,對于普通檢查人員來說,在查看目錄信息的時候,是看不出來隱藏文件的。
4、一種關于網絡協議的隱寫
利用TCP/IP協議數據隱藏
網絡中客戶端與服務器端建立連接通過TCP/IP協議中的三次握手,我們可以通過控制這個過程中的序列號來傳遞隱秘信息,序列號指的是客戶端或服務端向對方顯示自己傳遞信息報文的序列號。序列號允許被修改,通信雙方可以自行規定。優勢:傳遞警示信號,密鑰消息等,不錯選擇,檢測就像大海撈針一樣,因為網絡中存在大量鏈接數據。
5、多媒體隱寫
1)
實際上Exif格式就是在JPEG格式頭部插入了數碼照片的信息,包括拍攝時的光圈、快門、白平衡、ISO、焦距、日期時間等各種信息以及相機品牌、型號、色彩編碼、拍攝時錄制的聲音以及全球定位系統(GPS)、縮略圖等等信息。0xFFD8”開頭,并以字符串“0xFFD9”結束。攝影愛好者可以參考這些信息提高自己的攝影技術。而別有用心之人則會想方設法通過獲取他人的原始照片來得到一些信息,不用擔心微信qq,已經幫助清除了exif。當然有工具可以修改exif的信息。還可以將exif信息段嵌入加密的信息來傳遞信息。
2)利用PS
制作過程需要將要隱藏的圖像在索引顏色模式下RGB調小使其變暗,(這一步很關鍵,使拼合后的圖片與原來的圖片在肉眼看來相似。)之后將其與顯示圖片進行拼合,一張帶有隱藏圖片的png無損圖片就此生成。
6、在圖片中隱藏壓縮包
這種方法的原理是:以jpg格式的圖片為例,一個完整的jpg文件由FF D8開頭,FF D9結尾,圖片瀏覽器會忽略FF D9以后的內容,因此可以在jpg文件中加入其他文件。
?使用copy /b a.jpg+b.zip 3.jpg 會生成圖種,更改后綴名即可解壓或查看源文件。
總而言之:如果結尾非FF D9,就有可能藏有文件。
檢測方法:binwalk、winhex
分離壓縮包方法:利用foremost工具、改后綴名
7、隱寫取證
1)所謂隱寫取證簡單說就是在可疑系統中檢測是否包含數據隱藏軟件或是信息隱寫者留下隱寫的痕跡。而反取證的是與之相反的,信息隱寫者想方設法去除進行隱寫的任何痕跡,使取證者無據可查。
2)取證的一些方法
*1*縮略圖中覓蹤跡:
所謂縮略圖存在于網絡及計算機中,它是圖片文件經過壓縮處理后的小圖。它包含了完整大圖的超鏈接等信息。它占空間小,加載速度快,因而常用來完成圖片預覽及目錄預覽等任務。在Windows中,不論是借助移動介質中的圖片進行隱寫還是計算機中的,很容易在thumbs.db(縮略圖數據庫隱藏文件)文件中留下痕跡。即使刪除原有圖片,縮略圖數據庫文件依然存在。
縮略圖查看工具:ThumbViewer
*2*工具篇
WinHex:WinHex是一個專門用來對付各種日常緊急情況的小工具,它可以用來檢查和修復各種文件、恢復刪除文件、硬盤損壞造成的數據丟失等,同時它還可以讓你看到其他程序隱藏起來的文件和數據。(windows下使用該工具,linux下直接用十六進制查看器)
stegsolve:一款圖片隱寫取證神器。它很全面。用它可以查看圖片不同圖層的信息,查看圖片中包含的ascii碼信息,還可以將兩張相似圖片拼合,查找蛛絲馬跡……
binwalk:用于分析和提取文件。當遇到一個隱寫文件,懷疑它包含其他文件并與之拼接時,binwalk的神力就此體現。它可以幫助我們查看文件并附加提取文件的功能。(kali自帶)
8、練習題:
1)實驗吧 哆啦a夢? http://www.shiyanbar.com/ctf/1890
*1*kali下binwalk:
root@kali:~# binwalk -e ameng.jpg?????? 發現DESCRIPTION顯示都是JPEG image data ,所以肯定是2張圖片 然后分離出來
root@kali:~# dd if=ameng.jpg of=fucl.jpg bs=88665 skip=1? 分離出來之后查看圖片就有flag了
*2*stegsolve使用
可以利用Stegsolve工具的Frame Browser來看,他可以直接分離多層圖片
2)實驗吧 男神 http://www.shiyanbar.com/ctf/1926
(知識點:圖片隱藏通道? 解題:利用工具Stegsolve)
(并沒有ps軟件0.0其他writeup中提到用PS可以查看通道的方式也可以解決這個題目)
首先用Stegsolve打開first.png這個圖片,然后用Analyse--Image Combiner功能合成兩個圖片,移動到SUB的時候出現了一個類似二維碼的結果,保存之……仔細觀察,和正常的二維碼有些區別,反色下試試(Windows自帶的畫圖功能就可以實現~)使用Stegsolve神器打開反色好的圖片~使用左右箭頭分通道查看圖片~
當調整到Red plane 0的時候出現了第一個清晰的二維碼
調整到Green plane 0的時候出現了第二個清晰的二維碼
調整到Blue plane 0的時候出現了第三個清晰的二維碼
掃描三個二維碼可以得到以下三個結果:
DES
6XaMMbM7
U2FsdGVkX18IBEATgMBe8NqjIqp65CxRjjMxXIIUxIjBnAODJQRkSLQ/+lHBsjpv1BwwEawMo1c=
這樣就非常清楚了,第一個二維碼是加密方式,第二個是密鑰,第三個是密文。找一個可以解密DES的網站解密就可以得到答案了
3)實驗吧 流 http://www.shiyanbar.com/ctf/1937
(知識點:圖片隱寫????? 解題:windows下winhex查看字符串)
linux在終端查看其十六進制,并用管道命令使它流向liu.txt,用find命令查找ctf字符即可。
4)七星網絡安全攻防平臺 簽到題 ? http://ctf.s7star.cn/challenges#%E7%AD%BE%E5%88%B0%E9%A2%98
9、練習總結
