数据隐藏技术

|
| 字数统计: 3.6k

各种数据的隐藏与反取证。

实验1-word中隐藏数据

实验工具

Microsoft Word

实验步骤

1、打开Word输入三行内容,以便进行对比。

image-20200126223815997

2、选取第二行的内容,右键单击选取“字体”,在弹出的设置界面的“效果”一栏会有一个复选框为“隐藏”,选中。

image-20200126225525860

3、点击确定后,选中内容消失,如下图

image-20200126225744158

4、默认情况下,隐藏文本是不会被打印出来的,如果其他用户想知道文件中是否包含隐藏文本,可以单击“左上角图标”->“word选项”->“显示”,选中“隐藏文字”复选框(选中下方打印选项中的“打印隐藏文字”同样可以将隐藏内容打印出来)。如下图。

image-20200126230253901

image-20200126230329867

5、点击“确定”查看效果

image-20200126230551174

6、此外,还有一种方式可以发现文档中的隐藏文字。首先保存文件,点击“左上角图标”->“信息”->“检查文档”。

image-20200126231153029

image-20200126231241528

7、开始检查,发现内容。在最下面即可发现文档中具有隐藏文字,我们可以将其删除或用上述的方法来讲它显示出来。

image-20200126231348851

实验2-利用压缩文件进行数据隐藏

实验内容

将压缩文件附加到图片中。

实验步骤

1.将含有需要隐藏信息的txt文本进行压缩生成压缩文件testRar.zip。(文件在c盘的新建文件夹内)如图所示

image-20200212232343151

2.在CMD中执行命令“copy /b testRar.jpg + testRar.zip newimage.jpg”或者编写一个后缀为.bat文件来运行。

1
copy /b testRar.jpg + testRar.zip newimage.jpg

image-20200212232540137

3、打开新图newimage.jpg发现图片无损毁。

image-20200212232940654

4.将图片后缀名改为.zip并解压到文件夹。

image-20200212233049394

实验3-图像元数据

## 实验内容

用Opanda PowerExif编辑图像的Exif数据。

实验步骤

1.右键单击打开⽬标⽂件的属性查看其详细信息(exif-hidden.jpg)。

image-20200216204812714

2.可以发现,在该图片的详细信息中涵盖了许多信息,其中包括图片标题、程序名称、图像ID、尺寸、分辨率、照相机信息、GPS信息、文件信息等。一般情况下,⼈们会忽略图片背后所拥有的元数据信息,而我们可以利用图片的元数据来达到隐藏信息的目的,也可以在调查取证的时候通过元数据获取到有用的内容。下面,我们试者利用工具来编辑图片元数据(Opanda PowerExif),打开工具。利用该软件,我们可以清楚图片中的Exif元数据,也可以进行添加操作。

image-20200216205321697

3.点击“添加”,我们试着来增加图像的作者信息。

image-20200216213321602

image-20200216221508359

image-20200216221640797

4.保存图片并查看其属性,可见作者信息已经被添加好。

image-20200216222130087

5.虽然作者信息也可以直接在属性中进行更改,但是我们可以利用工具添加其他无法直接在属性栏中操作的元数据。此种隐藏方法比较简单,但这不失为是一种有效简洁的数据隐藏方式。以上的方法仅仅是在图片属性上的隐写术,而在图片内容中的隐写便显得更具隐蔽性以及复杂性,我们利用jpg图像的信息隐藏软件jphs实现一次隐藏于图片内容中的隐写术,打开软件Jphswin。 image-20200216224654409

6.在工具中打开图片文件。

image-20200216224950193

7.点击“Hide”按钮,输⼊密码。

image-20200216225237580

8.点击“确定”之后选择要包含隐藏信息的文本。

image-20200216225350447

9.可以在程序中看到保存信息。

image-20200216225627238

10.打开图片可以发现图片没有遭受到任何损坏。利用软件里seek输入密码可以将隐藏文件内容导出。

实验4-图片隐写技术

实验内容

  1.  在数字隐写术中,人们通常会用某种程序将消息或文件嵌⼊到另⼀个载体文件中,然后把这个载体文件传送给接受者,接受者利用同样的手段获取载体文件中的消息或文件 <br>2)     数字信息的隐藏方法有很多,主要分为两大类:插入、替换。插入:通过插入方法隐藏信息会插入一些额外内容,除了被隐藏的消息外,还有文件制作工具的标识,这个标识记录了隐写程序处理隐藏载荷的地点。这种方法通常会利用文件格式中的空白部分。替换:通过替换方法隐藏消息会改变消息中的字节或者交换字节顺序。它不会在载体文件中增加任何新的内容,而是通过修改字节或者调整字节位置让人们看不到或者听不到文件内容。

实验步骤

1.图片中插入隐写的方法有追加插入法和前置插入法
追加插入法,在文件末尾附加数据是数字隐写术里最常用、最简单的方法,在前面的实验中,我们使用了Windows系统的copy命令将压缩文件追加进了图片,图片没有遭到损坏。
前置插入法,任何可以插入批注内容的文件都可能被插入数据而丝毫不影响视觉效果,例如,JPEG文件最多可以在其中插⼊65533个字节的批注信息。JPEG文件被文件标识符分成不同的区域,每个标识符都以0xFF开头,这些标识符标识着文件的布局、格式和其他详细信息。批注区是数据隐藏的绝好位置,在APPO标识符的作用下,解码器(图像浏览器)无法识别的元数据都被忽略掉了,标识符详细信息如下。

image-20200217234819606

2.修改方法
LSB,最低有效位修改法,利用的是24位调色板,调色板中有红、绿、蓝三原色。在一个图像的24位调色板中,每8位表示一个原色,也就是说红、绿、蓝分别有256个色调。在LSB修改法中,8位颜色值的最后一位(最低有效位)由1改为0,由0改为1,或者保持不变,每个字节的最低有效位的组合表示插入的隐藏内容,如果是文本信息的话,这些最低有效位重新组合后,每8位代表一个ASCII字符。

image-20200217235340689

LSB修改方法适用于24位的图像文件,例如JPEG文件和24位的BMP文件。

实验5-在PDF文件中隐藏信息

实验内容

  1. wbStego4.3open是一个开源隐写工具,它可以把文件隐藏到BMP、TXT、HTM和PDF文件中且不会被看出破绽,它也可以用来创建版权标识文件并嵌入到文件中将其隐藏。

实验步骤

1.打开软件。
image-20200218000459944
2.默认选择“Encode”。如图2所示
image-20200218000506790
3.选择需要隐藏的文件1.txt。如图3所示
image-20200218000515874
4.选择载体文件1.pdf。
image-20200218000526947
5.设置加密信息这里默认。
image-20200218000535147
6.设置输出文件2.pdf。
image-20200218000600807
7.默认设置并确定,生成文件2.pdf,用WinHex打开文件,可以发现其中被混入了许多由20和09组成的8位字节。
image-20200218000607541
8.将这些8位字节提取出来之后取其最低有效位,组合后便可获得其所代表的ASCII码的二进制形式,然后再把二进制码转换成ASCII码就可以得到原始信息。(20代表0,09代表1)

实验6-反取证-隐藏痕迹

实验内容

隐藏数据时,用户最容易疏忽的一点就是:除了已嵌入消息的载体文件的痕迹外,还会留下原始的载体文件。除了删除原始的载体文件外,还要在进行数据隐藏操作的计算机上清除数据隐藏程序的痕迹。

实验步骤

一、 数据隐藏密码
1.1 除了载体和数据隐藏程序外,密码也是数据隐藏的要点之一,在载体文件中嵌入消息时一定要使用强密码加密,常见建议如下: a) 不使用操作系统的密码、在网页浏览器中存储的密码或网络设备使用的密码。 b) 密码应包含大小写字母、数字和特殊字符的组合。 c) 如果要把密码保存在某个地方,最好使用安全的密码寄存工具或第三方。
1.2 很多数据隐藏程序在嵌入数据时都会让用户输入自定义的密码,此时最好使用强密码,我们可以使用键盘中的隐藏字符制造强密码,如: a) 按[CTRL]+[ALT]+[C],输出字符© b) 按[CTRL]+[ALT]+[R],输出字符® c) 按[CTRL]+[ALT]+[T],输出字符™ d) 按[CTRL]+[ALT]+[E],输出字符€
1.3 在密码中使用一个或多个特殊字符可以成功击败很多类型的密码暴力破解工具,这不仅是数据隐藏密码保护的最佳实践,也是一个通用的计算机安全防护技巧。此外,增加密码长度也会使密码破解难度呈指数级增长。

二、 隐藏痕迹
2.1 在Windows系统中,可以使用cleanmgr工具来清理系统,使其不会残留数据隐藏软件的任何痕迹,在CMD命令行下执行“cleanmgr”。
image-20200218001313229
2.2 选择磁盘后,便可以选择即将要清理的内容。
image-20200218001321674
2.3 Windows Server 2008 R2系统(还有Win7、Win8等)会跟踪系统运行的每个程序,并把使用最频繁的程序放到开始菜单中。右键单击菜单栏,点击属性。
image-20200218001328386
2.4 选择“[开始]菜单”标签,在“隐私”一栏中可以选择是否存储且显示最近打开的项目。
image-20200218001334178
2.5 或者选择“自定义”,将要显示的项目数设置为0。

image-20200218001339375


实验7-取证

实验内容

  1. 检测可疑系统中是否包含数据隐藏软件的方法有很多,主要包括:检测仍然存在于可疑计算机中的数据隐藏软件;网站页面缓存,查找可能提供数据隐藏软件下载的网页;图像缓存,查找使用并可能下载数据隐藏软件的线索;残留的人工痕迹,表名系统可能安装或运行过数据隐藏软件:注册表、软件卸载残留文件、“Thumb”文件(图像缩略图缓存文件)

实验步骤

一、 查找数据隐藏软件
1.1 查看Windows注册表中的键值,查看最近使用的软件列表“HKEY_CURRENT_USE\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU”。
image-20200218001844202
二、 查找残留的人工痕迹
2.1 当调查一台计算机时,从计算机的注册表项到临时目录都是调查人员取证分析的主要渠道。还有一个方法是可以识别计算机中是否包含(或者运行过)隐写软件,调查人员可以用一些检查工具扫描计算机中的文件,然后通过对比散列值来判断该计算机中是否曾经安装过数据隐藏软件,这些工具也可以用来查找数据隐藏软件被卸载后残留在注册表中的痕迹,其中最为知名的工具便是WetStone的StegoHunt软件,它可以扫描磁盘、目录、取证图像文件和联网的计算机来检测是否存在数据隐藏程序。

image-20200218001905744

三、 识别和浏览图像缓存
3.1 除了扫描数据隐藏文件外,调查人员还会尝试检查一些提供数据隐藏软件下载的知名网站,完全有必要分析可疑计算机访问的网站和上网历史。数据隐藏软件很可能是通过进行数据隐藏操作的同一台计算机下载的,那么分析这台计算机访问过的URL和缓存图像后就可以决定是否有必要对该计算机进行进一步的全面调查。3.2 对于取证调查人员来说,除了浏览可疑计算机中的静态图像外,检测其中的缓存图像也很重要。如果数据隐藏程序、载体文件和有效载荷文件已经被嫌疑人删除,但缓存目录中可能还存在相关的图像,其中可能包含嫌疑人访问数据隐藏软件网站的证据。通用的工具是STG Cache Audit,这是一个基于Windows的、网页缓存、cookie和历史记录的高级查看器。

image-20200218001926858

四、 缩略图中的痕迹
4.1 在可疑计算机上还可以检测另一类缓存信息:缩略图。在Windows操作系统中,缩略图主要用于快速浏览文件夹中的文件,缩略图视图同时还会在文件夹中创建一个thumbs.db文件,该文件夹中存储了图像形式的文件最小版本及文件首页等信息。我们并不能直接从缩略图中检测到隐藏数据,但的确可以使调查人员从中发现一些可能已经嵌入到了其他文件中的可疑数据。
4.2 若要查看缩略图数据库,可按“Alt”键选择资源浏览器中呼出的“工具”栏,选择“文件夹选项”。
image-20200218002010179
4.3 在文件夹选项中选择“查看”标签,取消“高级设置”中的“隐藏受保护的操作系统文件(推荐)”并应用,设置完成之后便可查看缩略图数据库文件。
image-20200218002023749
4.4 在Windows Server 2008 R2中,thumbs.db文件集中存储在用户文件夹中(C:\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer)。
image-20200218002032702
4.5 同样的,也有很多软件可以查看和分析thumbs.db文件,如Thumbnail Database Viewer,该工具可以自行选择待分析的thumbs.db文件,也可以通过它的搜索功能找到所有的thumbs.db文件。
image-20200218002039322
4.6 通常情况下,即使图片文件被删除或转移了,它的缩略图也会一直保留在thumbs.db文件中,除非手动删除。

五、 查找隐藏目录和文件5.1 streams.exe检测交换数据流中的隐藏文件,创建交换数据流文件并检测。
image-20200218002045885