1傲隶、歷史
1)卡爾達諾柵格碼:Spam Mimic使用了柵格密碼。
紙幣水印
隱形墨水
縮影術的間諜相機
2)一個關于利用隱寫術實現(xiàn)攻擊的真實故事窃页。
是從2006年年中開始的一系列持續(xù)網(wǎng)絡攻擊跺株。攻擊目標包括至少72個組織,包括國防承包商腮出,世界各地的企業(yè)帖鸦,聯(lián)合國和國際奧委會芝薇。
2006年黑客實施了第一次攻擊胚嘲,2008年奧運會開幕之前他們則攻擊了許多體育管理機構。2011年8月洛二,在攻擊了全世界超過70個公司和政府部門后馋劈,神秘的“暗鼠行動”終于曝光在世人面前攻锰,他們的攻擊目標甚至還包括聯(lián)合國的防務承包商。
The details of Operation Shady RAT:看似在這繁雜的過程中只有一兩步涉及圖片隱寫妓雾,但它確是這整個過程中最寫意娶吞、最核心的一步。經(jīng)過隱寫的圖片放在最顯眼的網(wǎng)絡中械姻,看似無害妒蛇,但它CnC(command-and-control命令和控制)卻充當了攻擊者對受害者進行攻擊的橋頭堡,因為隱寫圖片可以隨時更換嵌入的命令楷拳,使攻擊者靈活而又隨心所欲的進行各種花式攻擊绣夺。當隱寫用在入侵攻擊中,它便顯露出了猙獰的面目欢揖。
2陶耍、HTML隱寫實例
snow 是一款在html嵌入隱寫信息的軟件,它的原理是通過在文本文件的末尾嵌入空格和制表位的方式嵌入隱藏信息她混,不同空格與制表位的組合代表不同的嵌入信息烈钞。
3、Windows隱寫實例
Windows NTFS 使用交換數(shù)據(jù)流來存儲文件相關元數(shù)據(jù)坤按,包括原作者毯欣、安全信息及其他一些元數(shù)據(jù)。是一個簡單有效的隱藏信息載體的渠道臭脓,對于普通檢查人員來說仪媒,在查看目錄信息的時候,是看不出來隱藏文件的谢鹊。
4算吩、一種關于網(wǎng)絡協(xié)議的隱寫
利用TCP/IP協(xié)議數(shù)據(jù)隱藏
網(wǎng)絡中客戶端與服務器端建立連接通過TCP/IP協(xié)議中的三次握手,我們可以通過控制這個過程中的序列號來傳遞隱秘信息佃扼,序列號指的是客戶端或服務端向對方顯示自己傳遞信息報文的序列號偎巢。序列號允許被修改,通信雙方可以自行規(guī)定兼耀。優(yōu)勢:傳遞警示信號压昼,密鑰消息等,不錯選擇瘤运,檢測就像大海撈針一樣窍霞,因為網(wǎng)絡中存在大量鏈接數(shù)據(jù)。
5拯坟、多媒體隱寫
1)
實際上Exif格式就是在JPEG格式頭部插入了數(shù)碼照片的信息但金,包括拍攝時的光圈、快門郁季、白平衡冷溃、ISO钱磅、焦距、日期時間等各種信息以及相機品牌似枕、型號盖淡、色彩編碼、拍攝時錄制的聲音以及全球定位系統(tǒng)(GPS)凿歼、縮略圖等等信息褪迟。0xFFD8”開頭,并以字符串“0xFFD9”結束答憔。攝影愛好者可以參考這些信息提高自己的攝影技術牵咙。而別有用心之人則會想方設法通過獲取他人的原始照片來得到一些信息,不用擔心微信qq攀唯,已經(jīng)幫助清除了exif洁桌。當然有工具可以修改exif的信息。還可以將exif信息段嵌入加密的信息來傳遞信息侯嘀。
2)利用PS
制作過程需要將要隱藏的圖像在索引顏色模式下RGB調小使其變暗另凌,(這一步很關鍵,使拼合后的圖片與原來的圖片在肉眼看來相似戒幔。)之后將其與顯示圖片進行拼合吠谢,一張帶有隱藏圖片的png無損圖片就此生成。
6诗茎、在圖片中隱藏壓縮包
這種方法的原理是:以jpg格式的圖片為例工坊,一個完整的jpg文件由FF D8開頭,F(xiàn)F D9結尾敢订,圖片瀏覽器會忽略FF D9以后的內容王污,因此可以在jpg文件中加入其他文件。
?使用copy /b a.jpg+b.zip 3.jpg 會生成圖種楚午,更改后綴名即可解壓或查看源文件昭齐。
總而言之:如果結尾非FF D9,就有可能藏有文件。
檢測方法:binwalk、winhex
分離壓縮包方法:利用foremost工具望薄、改后綴名
7、隱寫取證
1)所謂隱寫取證簡單說就是在可疑系統(tǒng)中檢測是否包含數(shù)據(jù)隱藏軟件或是信息隱寫者留下隱寫的痕跡三痰。而反取證的是與之相反的,信息隱寫者想方設法去除進行隱寫的任何痕跡,使取證者無據(jù)可查。
2)取證的一些方法
*1*縮略圖中覓蹤跡:
所謂縮略圖存在于網(wǎng)絡及計算機中喧枷,它是圖片文件經(jīng)過壓縮處理后的小圖。它包含了完整大圖的超鏈接等信息。它占空間小割去,加載速度快窟却,因而常用來完成圖片預覽及目錄預覽等任務昼丑。在Windows中呻逆,不論是借助移動介質中的圖片進行隱寫還是計算機中的,很容易在thumbs.db(縮略圖數(shù)據(jù)庫隱藏文件)文件中留下痕跡菩帝。即使刪除原有圖片咖城,縮略圖數(shù)據(jù)庫文件依然存在。
縮略圖查看工具:ThumbViewer
*2*工具篇
WinHex:WinHex是一個專門用來對付各種日常緊急情況的小工具呼奢,它可以用來檢查和修復各種文件宜雀、恢復刪除文件、硬盤損壞造成的數(shù)據(jù)丟失等握础,同時它還可以讓你看到其他程序隱藏起來的文件和數(shù)據(jù)辐董。(windows下使用該工具,linux下直接用十六進制查看器)
stegsolve:一款圖片隱寫取證神器禀综。它很全面简烘。用它可以查看圖片不同圖層的信息,查看圖片中包含的ascii碼信息定枷,還可以將兩張相似圖片拼合孤澎,查找蛛絲馬跡……
binwalk:用于分析和提取文件。當遇到一個隱寫文件欠窒,懷疑它包含其他文件并與之拼接時覆旭,binwalk的神力就此體現(xiàn)。它可以幫助我們查看文件并附加提取文件的功能岖妄。(kali自帶)
8型将、練習題:
1)實驗吧 哆啦a夢? http://www.shiyanbar.com/ctf/1890
*1*kali下binwalk:
root@kali:~# binwalk -e ameng.jpg?????? 發(fā)現(xiàn)DESCRIPTION顯示都是JPEG image data ,所以肯定是2張圖片 然后分離出來
root@kali:~# dd if=ameng.jpg of=fucl.jpg bs=88665 skip=1? 分離出來之后查看圖片就有flag了
*2*stegsolve使用
可以利用Stegsolve工具的Frame Browser來看荐虐,他可以直接分離多層圖片
2)實驗吧 男神 http://www.shiyanbar.com/ctf/1926
(知識點:圖片隱藏通道? 解題:利用工具Stegsolve)
(并沒有ps軟件0.0其他writeup中提到用PS可以查看通道的方式也可以解決這個題目)
首先用Stegsolve打開first.png這個圖片茶敏,然后用Analyse--Image Combiner功能合成兩個圖片,移動到SUB的時候出現(xiàn)了一個類似二維碼的結果缚俏,保存之……仔細觀察惊搏,和正常的二維碼有些區(qū)別,反色下試試(Windows自帶的畫圖功能就可以實現(xiàn)~)使用Stegsolve神器打開反色好的圖片~使用左右箭頭分通道查看圖片~
當調整到Red plane 0的時候出現(xiàn)了第一個清晰的二維碼
調整到Green plane 0的時候出現(xiàn)了第二個清晰的二維碼
調整到Blue plane 0的時候出現(xiàn)了第三個清晰的二維碼
掃描三個二維碼可以得到以下三個結果:
DES
6XaMMbM7
U2FsdGVkX18IBEATgMBe8NqjIqp65CxRjjMxXIIUxIjBnAODJQRkSLQ/+lHBsjpv1BwwEawMo1c=
這樣就非常清楚了忧换,第一個二維碼是加密方式恬惯,第二個是密鑰,第三個是密文亚茬。找一個可以解密DES的網(wǎng)站解密就可以得到答案了
3)實驗吧 流 http://www.shiyanbar.com/ctf/1937
(知識點:圖片隱寫????? 解題:windows下winhex查看字符串)
linux在終端查看其十六進制酪耳,并用管道命令使它流向liu.txt,用find命令查找ctf字符即可。
4)七星網(wǎng)絡安全攻防平臺 簽到題 ? http://ctf.s7star.cn/challenges#%E7%AD%BE%E5%88%B0%E9%A2%98
9碗暗、練習總結
