Question:
Détection de la stéganographie dans les images
Chris
2011-02-14 21:17:26 UTC
view on stackexchange narkive permalink

Je suis récemment tombé sur un étrange fichier JPEG: résolution 400x600 et une taille de fichier de 2,9 Mo. Je me suis méfié et j'ai soupçonné qu'il y avait des informations supplémentaires cachées. J'ai essayé des choses simples: ouvrez le fichier avec des outils d'archivage; J'ai essayé de lire son contenu avec un éditeur, mais je n'ai rien trouvé d'intéressant.

Maintenant mes questions: que puis-je faire d'autre? Existe-t-il des outils disponibles pour analyser les images pour les données cachées? Peut-être un outil qui recherche les en-têtes de fichiers connus?

Je conviens que c'est étrange, mais gardez à l'esprit qu'il pourrait avoir été encodé avec des paramètres JPEG très laxistes.
Pas une réponse à la question posée, mais à la situation réelle que vous avez eue: ce ne sont peut-être pas des données cachées, mais du code binaire caché, par exemple [GIFAR] (http://riosec.com/how-to-create-a-gifar). Voir également [http://security.stackexchange.com/q/600/33[http://security.stackexchange.com/q/600/33).
@Konrad, J'en doute. Même à trois bits par pixel (couleur 24 bits), une image bitmap de base ne ferait qu'environ 720 000 octets. (400 * 600 * 3). Je parierais un voyage au buffet chinois qu'il y a quelque chose là-bas qui n'est pas lié à l'image évidente. @Chris: Veuillez poster vos résultats, ou même le fichier si vous vous en séparez.
Cinq réponses:
#1
+49
Mark Davidson
2011-02-14 21:46:49 UTC
view on stackexchange narkive permalink

Pour détecter la stéganographie, cela revient vraiment à une analyse statistique (ce n'est pas un sujet que je connais très bien).
Mais voici quelques pages qui peuvent vous aider.

Une petite question de sémantique, ici: la stéganographie en elle-même n'est pas un cryptage, c'est une obfuscation. Bien que les données cachées puissent en fait être cryptées, ce n'est pas une partie nécessaire de la stéganographie pour qu'il en soit ainsi.
Vous avez raison Iszi, je vais corriger cela.
Un autre vote pour Stegdetect ici. Cela fonctionne vraiment bien.
Stegdetect fonctionne-t-il toujours ou est-il cassé? je reçois beaucoup d'erreurs de compilation sur ubuntu 14.04
Stegdetect n'est plus poursuivi et la page d'accueil est en panne.
#2
+14
iivel
2011-02-14 22:28:39 UTC
view on stackexchange narkive permalink

Je seconderai la recommandation pour Stegdetect: voici une autre bonne source d'informations http://www.outguess.org/detection.php ainsi que des téléchargements pour stegbreak et XSteg

Vous pouvez aller directement à la source de la recherche à ce sujet si cela vous intéresse; La page de Neil Provos est ici http://www.citi.umich.edu/u/provos/stego/

#3
+11
user502
2011-02-16 02:36:39 UTC
view on stackexchange narkive permalink

Il y a de bonnes références générales dans les autres réponses ici, donc je vais juste donner quelques informations spécifiques à votre situation:

Lorsque vous masquez des données dans des images sans changer la taille du fichier, vous les mettez dans le bits de poids faible; cela peut être détecté en ouvrant dans un éditeur avec un histogramme et en recherchant des bords irréguliers. Mais cela ressemble à une concanténation d'un fichier à l'image; * Les habitants de chan utilisent souvent cette technique pour distribuer des fichiers illicites. La recherche de signatures de fichiers après la première - disons, en utilisant 'grep -a' avec une liste de nombres magiques de types de fichiers connus - devrait révéler cette technique. La combinaison du cryptage et de la stéganographie dépasse le cadre de ce commentaire: D

le cryptage et la stéganographie ne sont pas vraiment nécessaires pour se cacher de ce type de recherche. on pourrait compresser tout le contenu dans l'archive `* .tar.gz` par exemple, puis supprimer son en-tête (la partie qui ne contient aucune information qui est vraiment nécessaire pour la décompresser).
#4
+6
Steven
2011-10-29 18:17:44 UTC
view on stackexchange narkive permalink

C'est probablement juste un fichier ajouté à la fin du JPEG. Recherchez l'EOF ou le début d'un en-tête connu tel que PK RAR PE, etc.

#5
+4
JimboJ3ts3t
2014-03-03 15:16:56 UTC
view on stackexchange narkive permalink

Veuillez noter que mon commentaire ci-dessous concerne la stéganographie LSB (Least Significant Bit) et non jpeg (DCT) ou la stéganographie des données ajoutées.

" La stéganographie ne modifie pas considérablement la taille du fichier / em> "c'est incorrect. Si je prends une image compressée jpeg et que j'applique la stéganographie LSB, la taille de l'image résultante sur le disque augmentera `` considérablement '' car les images utilisant la stéganographie LSB DOIVENT être enregistrées dans un format sans perte tel que bmp tiff ou png. J'ai écrit un logiciel qui prend n'importe quel format d'image (tel que jpeg) et cache les données qu'il contient et les enregistre au format png. Il arrive souvent que je puisse ouvrir un jpeg de 60 Ko et pouvoir y cacher plus de 100 Ko de données. Le png résultant serait identique au jpeg original mais aurait une taille de fichier de 800 Ko +

Lors de l'analyse d'images pour le contenu de stéganographie LSB, vous DEVEZ avoir soit l'image originale pour comparaison, soit avoir connaissance de la méthode d'encodage. Sans l'un ou l'autre de ces éléments, vous ne déterminerez JAMAIS si une image contient des données LSB masquées. Considérez qu'il existe une multitude de façons d'implémenter la stéganographie LSB et un nombre infini d'images à choisir comme source, ce n'est pas une tâche triviale de déterminer un contenu stéganographique. Cela dit ... TOUTES les images contenant du contenu stéganographique LSB doivent être sauvegardées sans perte (sans compression). Par conséquent, leur taille (octets) peut être plus grande que ce à quoi on pourrait s'attendre autrement. Jpeg est un algorithme avec perte (même avec une compression de 0%), c'est pourquoi les images utilisant la stéganographie LSB ne peuvent pas être enregistrées en tant qu'images jpeg, donc il est peu probable que votre grande image jpeg contienne la stéganographie LSB, mais cela n'exclut pas d'autres options stéganographiques.

Vous pouvez détecter la stéganographie LSB grâce à une analyse statistique si vous connaissez le modèle LSB typique de la source d'image. Par exemple, si l'image est un dessin animé avec de grandes zones de couleur unie, vous savez que quelque chose se passe si le LSB varie d'un pixel à l'autre. De même, si l'image provient d'une caméra avec un biais dans ses valeurs de pixels, une distribution uniforme des valeurs LSB est une indication de la stéganographie.
c'est faux.on peut encoder des secrets directement dans les coefficients DCT de JPEG, et emballer le résultat comme d'habitude


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...