隐写术浅谈（二）：LSB隐写与IDAT隐写

Misc 学习（番外篇） - 隐写分析：隐写术（2）

在本系列的其他文章中，我主要讲了讲自己对于隐写分析的一些浅薄理解，但是大都是针对于如何反隐写（做题嘛，不寒碜），基本上很少讲如何去隐写。上一篇我们讨论了直接附加和 IHDR，这一篇我们继续讨论如何去进行隐写（LSB 隐写和 IDAT 隐写）（非 CTF 向）。（此文并非教学，我只是在这里记下我的笔记、我的心得、我的体会，请辩证看待、理性思考，不要全都当成真理）

一． LSB 隐写（PNG、BMP）

PNG 文件中的图像像数一般是由 RGB 三原色（红绿蓝）组成（有的图片还包含A通道表示透明度），每一种颜色占用8位，取值范围为0x00至0xFF。LSB 隐写就是修改 RGB 颜色分量的最低二进制位（LSB），它修改了每个像数颜色的最低的1 bit，而人类的眼睛不会注意到这前后的变化，这样每个像素可以携带3比特的信息。

按照LSB隐写的原理，LSB 隐写只能对 PNG、BMP这种无损图片格式使用，像是 JPEG 格式的文件就并不能使用。

人工隐写

反正我不会用手隐写。

脚本隐写

脚本隐写无非分为三步：打开文件 --> 从一个像素点开始，按行或列改写其最低二进制位 ，这样的方式虽然容易被检测到，但是相比于其他的较为隐蔽，我们也可以根据最基础的开始逐步扩展。

对于 PNG 图片，我们可以使用如下 Python 脚本隐写一个文件到另一个 PNG 文件中。

from PIL import Image
import sys

def toasc(strr):
    return int(strr, 2)       
def plus(string): 
    return string.zfill(8)
def get_key(strr):
    #获取要隐藏的文件内容
    with open(strr,"rb")  as f:
        s = f.read()
        string=""
        for i in range(len(s)):
            string=string+""+plus(bin(s[i]).replace('0b',''))
    return string
def mod(x,y):
    return x%y

#str1为载体图片路径，str2为隐写文件，str3为加密图片保存的路径 
def encode(str1,str2,str3): 
    im = Image.open(str1) 
    width,height= im.size[0],im.size[1]
    print("width:"+str(width))
    print("height:"+str(height))
    count = 0
    key = get_key(str2) 
    keylen = len(key)
    for h in range(height):
        for w in range(width):
            pixel = im.getpixel((w,h))
            a=pixel[0]
            b=pixel[1]
            c=pixel[2]
            if count == keylen:
                break
            a= a-mod(a,2)+int(key[count])
            count+=1
            if count == keylen:
                im.putpixel((w,h),(a,b,c)) 
                break
            b =b-mod(b,2)+int(key[count])
            count+=1 
            if count == keylen:
                im.putpixel((w,h),(a,b,c)) 
                break
            c= c-mod(c,2)+int(key[count])
            count+=1
            if count == keylen:
                im.putpixel((w,h),(a,b,c))
                break
            if count % 3 == 0:
                im.putpixel((w,h),(a,b,c))
    im.save(str3)


if __name__ == '__main__':
    str1 = sys.argv[1]
    str2 = sys.argv[2]
    str3 = sys.argv[3]
    encode(str1,str2,str3)

来自于 https://blog.csdn.net/qq_26090065/article/details/82469266

反隐写

由于对方 LSB 隐写时很可能会发扬创新精神，进行个人定制，所以不推荐通过脚本进行反隐写，我们可以用 Stegsolve 去寻找这种 LSB 隐藏痕迹，通过下方的按钮观察每个通道的信息进行分析，捕捉异常点，抓住 LSB 隐写的蛛丝马迹（这玩意儿很难说，一般就是一看就感觉奇怪的n行或n列颜色块），进而利用 Stegsolve --> Analyse --> Data Extract 功能指定通道，点击 Preview 预览，Save Bin 进行提取。或者我们也可以使用 **zsteg **工具直接进行自动化的识别和提取。

其实这玩意儿意义并不大，主要用于双方不能传输文字，只能传输图片并且有第三方并不严格的审查下才算有点意义。（反正我是不会用的）

二． IDAT 隐写（PNG）

IDAT（图像数据块）
它存储实际的数据，在数据流中可包含多个 连续顺序的 图像数据块。它采用 LZ77 算法的派生算法进行压缩，可以用 zlib 解压缩。IDAT 块只有当上一个块充满（正常length最大65524）时，才会继续一个新的块。

根据 IDAT 块的定义与性质，我们有隐写方式如下：

人工隐写

由于 IDAT 块必须要与其他的 IDAT 块连续，我们需要找到原来的最后一个 IDAT 块，然后在它的 CRC 块之后加上我们自己的 IDAT 块，注意，我们加上的 IDAT 块必须完整（包含4字节的“数据块长度”（n），4字节的名称“IDAT”，n字节的数据，4字节的 CRC 块）。为了更好的隐写，我们最好将名称块+数据块的 CRC 计算出来，写到 CRC 块中，防止某些图像查看器报错。

虽然 IDAT 里存储的照片数据总是压缩过的，但是我们偷偷放进去的数据可以不压缩。

具体的照片就不贴了，隐写时有问题可以直接问我。

脚本隐写

脚本的话主要是分为两个部分：计算 CRC 和 IDAT 块写入。

# author : CHTXRT
# use : .\[脚本名] [要写入的图片] [要隐藏的数据] 
import zlib
import struct
import sys
import binascii

filename = sys.argv[1]
with open(filename, 'rb+') as f:
    # 读取数据 计算 CRC 整理成 IDAT 块的形式
    data2 = bytearray(open(sys.argv[2],'rb').read())
    data2_len = len(data2)
    data2_crc = zlib.crc32(b'IDAT'+data2)
    data2 = data2_len.to_bytes(4,byteorder='big',signed=False) + b'IDAT' + data2 + data2_crc.to_bytes(4,byteorder='big',signed=False)
    #新 IDAT 块写入
    all_b = f.read()
    data = bytearray(all_b)
    lastidat = data.rfind(b'IDAT')
    data = data[0:lastidat + 8 + int.from_bytes(data[lastidat-4:lastidat],byteorder='big',signed=False)] + data2 + data[lastidat + 8 + int.from_bytes(data[lastidat-4:lastidat],byteorder='big',signed=False):len(data)]
    f.write(data)
    exit(0)

刚学 Python ，代码写的有点烂，好像还有点问题，我用编辑器肉眼看着写的挺好，但是 pngcheck 报错说 IEND 后面有块？但是用编辑器打开看 文件尾后面是没有问题的。而且下面的反隐写对我的代码无效，因为好像压根识别不出来我写进去的 IDAT 块。（好像莫名其妙提高了隐蔽性）

反隐写

IDAT 块只有当上一个块充满（正常length最大65524）时，才会继续一个新的块。程序读取图像的时候也会在第一个未满的块停止（查了下W3C标准，其实是PNG图片在压缩的时候会在最后一个块的标记位标明这是最后一个数据块）。所以如果某一块没有满但后面却还有 IDAT 块则说明后面的块是“假”的。

我们可以用 pngcheck -v [文件名] 去查看PNG文件数据块信息，然后利用 python zlib 解压多余IDAT块的内容，此时注意剔除长度、数据块类型及末尾的CRC校验值（如果压缩过的话）。你可以先 binwalk 提取一下多的块，看看是不是 zlib。

import zlib
import binascii
IDAT = " ".decode('hex')	#双引号中填IDAT数据
result = binascii.hexlify(zlib.decompress(IDAT))
print(result)

如果碰到像我一样懒得压缩的，还是直接结合上期用肉眼观察法提取吧。

本期就先说到这里，针对于如何进行信息隐写，主要讲了讲隐写术中的直接附加和部分 PNG 图片隐写方法，写的不太好的地方还请包涵并提出您宝贵的建议，我们下期再见。

参考资料

[1] 从0开始学杂项 第三期：隐写分析(2) PNG 图片隐写 ：https://blog.csdn.net/CHTXRT/article/details/128714931

以上内容仅供参考，水平不高，大佬见笑。

作者：CHTXRT

出处：https://blog.csdn.net/CHTXRT

本文使用「CC BY-ND 4.0」创作共享协议，转载请在文章明显位置注明作者及出处。