信息隐写学习

一、消息插入隐藏

1.追加插入

追加插入法是数字隐写术中最常用、最简单的一种方法，一般是利
用文件的特性在文件末位进行附加数据。
例如：对于JPG图片，其文件结构特性为图像开始(SOI)标记为
0xFFD8，图片结尾(EOI)结束标记为0xFFD9。

对于windows将两个文件进行合并时，即在一个文件后面追加另一个文件时基本命令格式：
copy /b 文件1+文件2+…文件N 合并后的文件名
copy /a 文件1+文件2+…文件N 合并后的文件名
使用“+”将多个相同或者不同格式的文件合并为一个文件。

2.前置插入

前置插入法是利用文件的冗余部分进行插入，而且丝毫不影响原始文件的使用效果。冗余部分可以是批注内容、注释信息等，一般文件都存在批注信息，此类信息修改后对原始文件不会产生影响。
word文件头504B
例如，对于文本文件和数字媒体文件很容易用来嵌入数据，以jpg图片和
文本文件为例。


在文件详细信息中修改属性值，在JPEG的应用程序标识符FFE0和帧起始标识符FFC0这两个标识符之间一般为批注区，对于数据隐藏来说批注区是很到的利用位置。

假如我们修改图片的属性信息进行数据隐藏，插入的数据信息会保
存在批注区。


例如经典wbStego4open隐写工具利用标注区信息，可以把文件
隐藏到BMP、PDF等文件中。
webstego案例分析：
对于PDF文件，使用winhex分析发现其文件内容exif区域存在很多0x20,0x09十六进制数，一般说明隐藏信息是使用webstego工具进行实现的，运行webstego分析存在隐藏的txt文档，尝试空密码，获取隐藏的文件。

二、替换隐藏

替换隐藏也是其一种主要的数据隐藏方法，替换修改方法就是修改 文件的字节信息，将原始载体内不重要数据信息替换成所要进行隐藏的信息，若只修改部分字节，或者进行重新渲染，很难发现发生过变动。最典型的替换方式就是采用最低比特位(LSB)替换方法。
LSB隐写原理：
图像是由像素组成，每个像素有一个灰度值。灰度值是介于0到
255之间的整数，0代表黑色，255代表白色，其中灰度值越大
表示亮度越高。例如在图片中像素灰度用8比特二进制数表示，
其中最高位对图像的贡献最大，最低位对图像的贡献最小，最低位则为最低比特位（least significant bit,LSB）。我们将一副图片所有像素的比特位抽取出来，就构成了8个不同的位面。
LSB隐写分析工具：
Stegsolve图片三色素.jar

三、信息隐写分析与提取

（一）图像中数据隐藏分析提取

1.常见格式文件头、尾标识

补充：
gif文件尾，003B
zip文件头，504B0304，文件尾，504B
rar文件头，52617221

RAR文件详解：
RAR 是有四个文件块组成的，分别是分别是标记块、归档头部块、文件块、结束块，
这些块之间没有固定地先后顺序，但要求第一个块必须是标志块并且其后紧跟一个
归档头部块。每个块都包含以下内容：

归档头部块和文件块的内容较多，仅列出每个块头部内容：

RAR 的标记块和结束块都是固定的 7 字节序列，分别为 0×52 61 72 21 1A 07 00 和 0xC4 3D 7B 00 40 07 00。文件块这边要注意一下 HEAD_FLAGS 这个头部，其中 HEAD_FLAGS 的低三位代表加密标志，此位若被置为 1，则文件使用了基于密钥的加密。

使用010editor更容易查看出HeadType是否异常。

2.图片隐写常用分析工具

1）winhex

例1，在图片中一般存在结束符。通过winhex工具查看文件结
束符。例如jpg图片结束符FFD9后存在多余的数据，分析文件头为PK,即附加的为zip。

结束符后存在多余的数据，分析文件头为PK,即附加的为zip压缩
包，将数据块复制至新文件进行提取。

例2：
给出如下一串字符：

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

保存的内容是base64格式，转成二进制



保存成rar后缀文件，解压得到KEY。

2）binwalk

binwalk是一个固件的分析工具，利用binwalk可以自动化的分析图片中附加的其他的文件，其原理是检索匹配文件头，在binwalk中常用的文件头都可以被发现。然后利用偏移可以配合winhex或者是dd分割出隐藏的部分。

使用语法 binwalk [filename]

分析出文件类型及初始偏移量后可以使用linux下的dd命令或使
用C32Asm得到所需要的内容。
dd分割内容：
dd if=[STDIN] of=[STDOUT] bs=[读写字节数] skip=[偏移值]

3）Stegsolve （LSB）

Stegsolve是一款主要进行图片通道信息检测的工具，可以分 析检测RGB位空间及灰度空间是否写入隐藏信息，同时也可以查看
文件属性及图片帧信息。具有很强大的检测分析隐写图片的功能。
使用stegsolve 看看文件属性信息，analyse–File Format。

Stegsolve分析LSB通道消息隐藏，使用左右预览及Analyse-- Data extract 可以查看图片通道是否存在异常。

针对于gif图片和多帧图片，stegsolve可以进行分析多帧文件
每帧数据的功能。例如对于gif图片加载后。通过analyse-frame browser进行查看。

案例：
选择data Extract功能，勾选RGB三原色的最低比特位，点击preview，发现为png图片。

4）steghide（图片或音频）

Steghide是一款开源的使用命令操作的隐藏工具，可以实现在
图片或者音频文件中隐藏和提取秘密消息。

steghide嵌入隐藏信息的命令为
steghide embed -cf [载体文件] -ef [待隐藏信息文件]
需要加密时可以设置密码，提取时需要输入设置的密码。

分析显示隐藏在文件中的信息，使用 info [目标分析文件]

提取隐藏文件内的内容。使用 extract -sf [目标分析文件]

分析提取后得到隐藏文件，但发现是通过加密后的内容，由文件
名提示我们可以看出其是通过des加密算法进行加密。

5）foremost

相对来说binwalk更加强大，速度也快，但是有时候如果不能分离出来，就可以试试看foremost。
详情见文章：
https://blog.csdn.net/john_david_/article/details/87273152

foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>]
    [-b <size>] [-c <file>] [-o <dir>] [-i <file]

-V  - 显示版权信息并退出
-t  - 指定文件类型.  (-t jpeg,pdf ...)
-d  - 打开间接块检测 (针对UNIX文件系统)
-i  - 指定输入文件 (默认为标准输入)
-a  - 写入所有的文件头部, 不执行错误检测(损坏文件)
-w  - 向磁盘写入审计文件，不写入任何检测到的文件
-o  - 设置输出目录 (默认为./output)
-c  - 设置配置文件 (默认为foremost.conf)
-q  - 启用快速模式. 在512字节边界执行搜索.
-Q  - 启用安静模式. 禁用输出消息.
-v  - 详细模式. 向屏幕上记录所有消息。

注： 未指定输出目录，结果放在foremost所在目录的output文件夹内，配置文件为所在目录的foremost.conf。
使用：

foremost -i zhu.jpg

6）OutGuss

7）Gif图片隐写工具

8）PNG和BMP图片隐写工具

zsteg支持检测：

LSB steganography in PNG & BMP
zlib-compressed data
OpenStego
Camouflage 1.2.1
LSB with The Eratosthenes set

查看LSB信息

zsteg pcat.png

尝试所有已知的组合

zsteg pcat.png -a

导出内容

zsteg -E "b1,bgr,lsb,xy" pcat.png > p.exe

9）文档加密

OurSecret.exe（需要给定密码）

（二）音频中数据隐藏分析提取

在多媒体的研究中人们已经对以数字图像为载体的数据隐藏技
术进行了很多的研究，但随着隐写技术的发展，在音频文件中进行数据隐藏也在安全通信中得到很多利用。

常见音频文件隐写分析工具

1.audacity

Audacity是一个跨平台的声音编辑软件，用于录音和编辑音频，
同时存在波形及频谱分析，可对音频频率及波形变化进行处理分析，也可以对声效进行转化，能够进行分析可能的隐藏信息。
按住键盘左下角的Ctrl按键，同时滚动鼠标滚轮即可对波形图
进行放大或者缩小操作波形，查看根据音频声音变化反应波形状态，寻找隐写规律。

转换查看频谱图分析频谱信息，一般在音频的隐藏中存在将信息
隐藏在频谱中。

Audacity 案例分析
例如，对于一个存在隐藏信息的wav音频文件test.wav，使用Audacity打开文件，发现左右声道的波形图存在区别，其中一声道上面存在有规律的波形变换。

按下键盘左下角的Ctrl按键，同时滚动鼠标滚轮，对波形图进
行放大操作，其中第一个波形图放大后如图所示。

结合常见的密码分析，我们可以猜测分析其是摩斯电码，通过
对照摩斯密码表或者解码工具进行解码，使用解码工具将摩斯密码解密。如下图所示能够得到明文信息。

2.MP3stego

MP3Stego可以把任何敏感数据压缩隐藏到MP3音乐文件中，数据首先被进行压缩和加密处理，然后将其隐藏到MP3音乐流数据中。使用MP3stego也可以进行分析提取MP3文件中存在的隐藏信息。MP3stego隐藏数据文本命令。

对于MP3文件，我们可以使用MP3stego进行分析是否利用了
改隐写工具，并能够根据密码提取隐藏消息。

（三）其他类型的隐写及隐写分析

1.Coagulalight （图像转声音）

Coagula Light允许用户通过频域将图像转换为声音。

2.Image Steganography （图片隐藏）

在图片中隐藏文本信息或文件。

3.图片高度

png格式修改高度

通常修改了ihdr高度的图片在linux中无法正常打开，在Windows中可以。

前面是文件头，固定的。从第二行开始，前四位是宽（00 00 03 20），后四位是高（00 00 02 3D）。
以下图片为png格式。

使用010editor修改高度：

jpeg格式修改高度

jpeg修改高度方法见如下博客文章
https://blog.csdn.net/specter11235/article/details/70305713

找到与图片高度有关的编码位置，在这里可以看到标记代码为FFC0，用Winhex软件打开该图片，设置成查看16进制，然后用查找16进制数值的功能搜索FFC0。

找到这一段编码，1字节就是2位16进制数，对照查找到的编码可得，标记代码:FFC0，数据长度:0011，精度:08，图像高度:03A7，我们要改的就是图片的图像高度，把03A7调大即可，我这里改为03EE。然后保存。

4.base64隐写

base64解码时会删除等于号个数 * 8 bit的位数，而在编码时一
个等于号只代表6 bit，因此可以利用4 bit或2 bit的差值来隐藏信息。

详情参考：
https://www.jianshu.com/p/f1f4e10ad10e
密文文件stego2.txt

YTUwZDllYTBhNTk5OWI0NmVlZmIzN2MzMDMzODlkZmR=
OTk4ODO0OmE4NWU0OTg1OTcyNjk1OzZlOWQ2ZDk5OWO=
NmZjOGJ3ZGUyODBmYmJ4ODYwZjMzZGU5NWUyZjdlNmJ=
ZDBhNDaxMzQ4NWRkZDM3a2a4ZjQwZTE0OWazM2IxMTa=
NzNlOTAzMGUwZDJwMjM3NzM0NjRmM2RhYzYxNDMxYjJ=
OTIwNzJkN2YwN2Y1Y2O0Y2Y2OjAxOTE5OGQ2NDE3NDO=
ZmIyOWIxY2Y0YTI2ZmU0Y2I2MGZiNTIzOTcxM2ZhNjT=
OWQ3NDRkOWEzNWI4NTYwYzIwYjI1ODA3Y2I5Njg4M2Q=
MjI4Z2Z3OTM0MjllMjM4NTM0NjZlNjNiZmUxZDJiZGZ=
YmQ2YjFlNjM1ZWY4YmQ4N2W0MWQ1NGIxODdkY2QwMjW=
ZmFiMTE4OTUyOTdkNjc0NmIwODAwMDdmYWE4MTFkZGU=
NDYzNGQ3NTMwNDZlMGJlNzhmNTMwM2MyMjk3ZjgwNzd=
MTUyZWNjYTViN2M5YWI1NjYzY2VlYTY1MzRxZmE0MjR=
ZGM3Yjk5YWQxNmYwMGU5MWVhYWQ4MDI1MGVlNjNjODC=
ZTc3NDg2MWZzODAwZjM1NTM3MGFlNDRjNDk0NjUxZmZ=
YTRlNjE3Y2E4ZWEwYWNkZTQ1M2QxYjM2YWFmN2U1MjD=

解密脚本：

# encoding:utf-8
import re
import base64

b64chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'

# ccc.txt为待解密的base64隐写字符串所在的文件
f = open('stego2.txt','r')
base64str = f.readline()

# pattern2用于匹配两个等号情况时，等号前的一个字符
# pattern2用于匹配一个等号情况时，等号前的一个字符
pattern2 = r'(\S)==$'
pattern1 = r'(\S)=$'

# 提取后的隐写二进制字符加入binstring中
binstring = ''

# 逐行读取待解密的base64隐写字符串，逐行处理
while(base64str):
    # 先匹配两个等号的情况，如果匹配不上，再配置一个等号的情况
    # 如果无等号，则没有隐藏，无需处理
    if re.compile(pattern2).findall(base64str):
        # mstr为等号前的一个字符，该字符为隐写二进制信息所在的字符
        mstr = re.compile(pattern2).findall(base64str)[0]
        # 确认mstr字符对应的base64二进制数，赋值给mbin
        mbin = bin(b64chars.find(mstr))
        # mbin格式如0b100，mbin[0:2]为0b
        # mbin[2:].zfill(6)为将0b后面的二进制数前面补0，使0b后面的长度为6
        mbin2 = mbin[0:2] + mbin[2:].zfill(6)
        # 两个等号情况隐写了4位二进制数，所以提取mbin2的后4bit
        # 赋值给stegobin，这就是隐藏的二进制信息
        stegobin = mbin2[-4:]
        binstring += stegobin
    elif re.compile(pattern1).findall(base64str):
        mstr = re.compile(pattern1).findall(base64str)[0]
        mbin = bin(b64chars.find(mstr))
        mbin2 = mbin[0:2] + mbin[2:].zfill(6)
        # 一个等号情况隐写了2位二进制数，所以提取mbin2的后2bit
        stegobin = mbin2[-2:]
        binstring += stegobin
    base64str = f.readline()

# stegobin将各行隐藏的二进制字符拼接在一起
# 从第0位开始，8bit、8bit处理，所以range的步进为8
for i in range(0,len(binstring),8):
    # int(xxx,2)，将二进制字符串转换为10进制的整数，再用chr()转为字符
    print(chr(int(binstring[i:i+8],2)),end="")

结果：

C:\Users\acer\venv\secure2\Scripts\python.exe C:/Users/acer/PycharmProjects/secure/base64.py
flagflag
进程已结束,退出代码0

5.压缩包攻击

1）伪加密
方法一：
在Mac OS及部分Linux（如Kali）系统中，可以直接打开伪加密的zip压缩包。
50 4B 01 02，在14 00 后修改回00 00即可。

方法二：
使用 ZipCenOp.jar工具

2）CRC32碰撞
目标文件的大小比较小 / 知道大概构成（如数字组合）就可以通过穷举组合来计算CRC值，再和压缩包中文件的CRC值进行对比即可。
例题：
打开压缩包，可以看出压缩文件 flag6位数的CRC32值为0x9c4d9a5d

#coding:utf-8
import binascii
crc = 0x9c4d9a5d
for i in range(100000,999999+1):#题目提示flag为6位数，因此只选择6位数字爆破
    if (binascii.crc32(str(i)) & 0xffffffff) == crc:
        print i

如无提示，可使用crc32.py脚本（大神写好的）

2）明文攻击

6.doc隐写

将doc文件后缀改为.zip，然后查看[Content_Types].xml文件，里面xml注释中可能会存在flag。

7.双图隐写

双图隐写泛指CTF竞赛中所有以两张图片为解题线索的题型，这里的两张图片可以指给出一张图片然后隐藏了另一张图片，也可以指直接给出了两张图片但是需要两张图片结合分析来提取出隐藏信息。
1）双图-运算处理
特征：在kali中使用compare比较两个图片并生成一张比较图会发现左下角有一条红线，红线处就是存在不同的地方，这种情况一般是双图像运算。
compare 1.png 2.png diff.png

8.二维码

二维码修复直接PS

四、编码总结