隐写笔记
总结:http://blog.sina.com.cn/s/blog_16edef0190102xkf1.html
数字隐藏分为两大类:替换,插入:
追加插入,正常的jpeg文件后面都有一个OxFF OxD9结尾的文件结束符
EOI后面的在浏览时被忽略,所以可以再这里插入数据;
前置插入法,
文件被文件标识符分成不同的区域,这些标识符标识着文件的布局格式和其他详细信息,我们可以在中间插入数据;
图片隐藏原理:LSB也就是最低有效位 (Least Significant Bit)。原理就是图片中的像数一般是由三种颜色组成,即三原色(红绿蓝),由这三种原色可以组成其他各种颜色,例如在PNG图片的储存中,每个颜色会有 8bit,LSB隐写就是修改了像数中的最低的1bit,在人眼看来是看不出来区别的,也把信息隐藏起来了。
通过改变每个字节最后一位(最低有效位)来隐藏数据,具体实现过程如图。
(Wbstego4open工具)
音频隐藏原理:
图片中藏压缩包:copy /b 图片 + 压缩包 隐藏后的图片
Html文件中隐藏信息:
隐藏:snow.exe –C –m “隐藏内容 ” -p “密码” 录入文件 输出文件 ;
查看:snow –C –p “密码” 输出文件;
安卓移动设备中隐藏数据:
Stegdroid工具(安卓市场下载):
Ogg:全称是OGGVobis(oggVorbis)是一种音频压缩格式,类似于MP3等的音乐格式。Ogg是完全免费、开放和没有专利限制的。OggVorbis文件的扩展名是".ogg"。Ogg文件格式可以不断地进行大小和音质的改良,而不影响旧有的编码器或播放器。
Windows中的数据隐藏:
交换数据流:
https://blog.csdn.net/xiaoxuetu_/article/details/77318670
NTFS数据流(ADS):
是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主流文件外还可以有很多非主文件流寄宿在主文件流中。他们通过资源派生来维持与文件相关的信息,虽然我们看不见,但是他是真是存在的。
1.利用NTFS隐藏文本文件:
1. 创建文本文档:notepad 文件名.txt
用原始文件创建交换数据流:notepad 文件名.txt: 数据流文件名.txt
查看刚才创建的数据流文件:notepad 文件名.txt: 数据流文件名.txt;
2.echo 隐藏内容>>文件名.txt:数据流文件流.txt
查看刚才创建的数据流文件:notepad 文件名.txt: 数据流文件名.txt;
3.将一个已经存在的文件以数据流的形式寄生到另一个文件或文件夹上
type 寄生文件.txt>>宿主文件.txt:寄生文件.txt
查看同2;
利用NTFS数据流隐藏图片:
图片可以隐藏到任何形式的文件上:文本文档.txt 可执行文件.exe 文件夹
根目录
type 图片名.jpg>>宿主文件:图片名.jpg
查看:(使用系统自带的图画程序mspaint )mspaint 宿主文件:图片名.jpg
检测隐藏的文件:
将lads.exe放到需要检测的根目录下,命令运行:lads.exe 根目录
检测根目录以及根目录下所有子文件:lads.exe 根目录 /S
清除隐藏数据流文件:
清除根目录下数据流文件:streams.exe -d 根目录:
清除根目录下所有数据流文件:streams.exe -s -d 根目录:
2.卷影副本隐藏:卷影副本至少可以保留六个月
利用vssadmin命令来管理卷影副本;
复制cmd.exe文件,为他创建一个新的系统还原点:我的电脑->属性->系统保护->创建
利用vssadmin list shadows查看所有卷影副本清单;
利用del cmd.exe,删除文件
用mklink命令为符号链接创建目录:mklink /D 卷影副本卷+
嵌入的cmd.exe不可见但是可以访问执行:
Wmic process call create \.GLOBALROOTDeviceHarddiskVolumeShadowCopy3cmd.exe
在VMware镜像中隐藏信息:
隐藏:将需要隐藏的图片与*.vmdk文件添加到dsfok目录下
Dsfi *.vmdk -图片大小 图片大小 需隐藏的图片名;
查看:dsfo *.vmdk -图片大小 图片大小 生成图片名
Steghide工具(JPEG每17个字节隐藏一字节, BMP, WAV and AU)
加密:steghide embed -cf picture.jpg-ef secret.txt ——》将文件secret.txt嵌入到picture.jpg
解密:steghide info picture.jpg ——》检测图片中是否存在.txt嵌入文件
steghide extract -sfpicture.jpg ——》破解出隐藏在图片中的.txt文件(过程需要输入加密的密码)
mp3stego工具
实例1:http://www.shiyanbar.com/ctf/1928
打开连接得到一个二维码,扫描结果是:
u7f8au7531u5927u4e95u592bu5927u4ebau738bu4e2du5de5
用unicode解密得到
发现时是当铺密码得到密钥9158753624 ;
将原本的二维码保存到本地,后缀加上.rar;
利用命令 Decode -X -P 密钥音频名 得到一个txt文件;
将其中的字符串用base64解码,得到ctf.
实例2:http://www.shiyanbar.com/ctf/2010
1. 补充文件头:FF D8 FF
2. 利用cooledite解密摩斯密码letusgo;
3. 用密码打开第二层地狱,根据提示找到word隐写内容image steganography
4. 用web 版的http://www.atool.org/steganography.php解出key{you are in finally hell now}
5. 用这个密码打开最后一层的文本文档:
转换成asii后得到ruokouling;
6. 尝试弱口令,发现密码是Password,打开后是VTJGc2RHVmtYMTlwRG9yWjJoVFArNXcwelNBOWJYaFZlekp5MnVtRlRTcDZQZE42elBLQ01BPT0=
7. 用base64解码得到:
U2FsdGVkX19pDorZ2hTP+5w0zSA9bXhVezJy2umFTSp6PdN6zPKCMA==
Rabbit解码得到:fxbqrwrvnwmngrjxsrnsrnhx
凯撒解密:
http://www.zjslove.com/3.decode/kaisa/index.html
Flag:woshinimendexiaojiejieyo
几种常见图片格式:
Png:图像格式文件(或者称为数据流)由一个8字节的PNG文件署名(PNG file signature)域(文件头)和按照特定结构组织的3个以上的数据块(chunk)组成。
PNG定义了两种类型的数据块,一种是称为关键数据块(必须)另一种叫做辅助数据块(可选):
关键数据块:
辅助数据块:
详细介绍:https://baike.baidu.com/item/png/174154?fr=aladdin
Jpg:其基本数据结构为两大类型:“段”和经过压缩编码的图像数据。
段类型有30种,但只有10种是必须被所有程序识别的,其它的类型都可以忽略。
详细介绍:https://blog.csdn.net/STN_LCD/article/details/78629029
Bmp:
BMP文件的数据按照从文件头开始的先后顺序分为四个部分: