it-swarm-es.com

Detectando esteganografía en imágenes

Recientemente me encontré con un archivo JPEG extraño: resolución 400x600 y un tamaño de archivo de 2.9 MB. Sospeché y sospeché que hay información adicional oculta. Intenté algunas cosas sencillas: abrir el archivo con algunas herramientas de archivo; Intenté leer su contenido con un editor, pero no pude encontrar nada interesante.

Ahora mis preguntas: ¿Qué más puedo hacer? ¿Hay alguna herramienta disponible que analice imágenes en busca de datos ocultos? ¿Quizás una herramienta que busca encabezados de archivos conocidos?

70
Chris

Para detectar la esteganografía, todo se reduce al análisis estadístico (no es un tema que conozca muy bien).
Pero aquí hay algunas páginas que pueden ayudarlo.

49
Mark Davidson

Secundaré la recomendación para Stegdetect: aquí hay otra buena fuente de información http://www.outguess.org/detection.php , así como descargas para stegbreak y XSteg

Puede ir directamente a la fuente de la investigación sobre esto si está interesado; La página de Neil Provos está aquí http://www.citi.umich.edu/u/provos/stego/

14
iivel

Hay algunas excelentes referencias generales en las otras respuestas aquí, así que solo daré algunos aportes específicos a su situación:

Cuando oculta datos en imágenes sin cambiar el tamaño del archivo, lo coloca en los bits de orden inferior; Esto se puede detectar abriendo en un editor con un histograma y buscando bordes dentados. Pero esto suena como una concatenación de un archivo a la imagen; * Los ciudadanos de chan a menudo usan esta técnica para distribuir archivos ilícitos. Buscar firmas de archivos después de la primera, digamos, usando 'grep -a' con una lista de números mágicos de tipo de archivo conocido, debería revelar esta técnica. La combinación de cifrado y esteganografía está más allá del alcance de este comentario: D

11
user502

Probablemente sea solo un archivo adjunto al final del JPEG. Busque el EOF o el inicio de un encabezado conocido como PK RAR PE, etc.

6
Steven

Tenga en cuenta que mi comentario a continuación se refiere a la esteganografía LSB (bit menos significativo) y no a la jpeg (DCT) o la esteganografía de datos adjunta.

"La esteganografía no modifica el tamaño del archivo significativamente" esto es incorrecto. Si tomo una imagen comprimida jpeg y aplico esteganografía LSB, el tamaño de la imagen resultante en el disco aumentará 'significativamente' ya que las imágenes que usan esteganografía LSB DEBEN guardarse en un formato sin pérdidas, como bmp tiff o png. He escrito un software que toma cualquier formato de imagen (como jpeg) y oculta los datos que contiene y los guarda en png. A menudo ocurre que puedo abrir un archivo jpeg de 60 Kb y poder ocultar más de 100 Kb de datos dentro de él. El png resultante se vería idéntico al jpeg original pero tendría un tamaño de archivo de 800Kb +

Al analizar imágenes para contenido de esteganografía LSB, DEBE tener la imagen original para la comparación OR tener conocimiento del método de codificación. Sin ninguno de estos, NUNCA determinará si una imagen contiene datos LSB ocultos. Considere hay una multitud de formas de implementar la esteganografía LSB y un número infinito de imágenes para elegir como fuente, no es una tarea trivial determinar cualquier contenido esteganográfico. Dicho esto ... TODAS las imágenes que contengan contenido esteganográfico LSB deben guardarse sin pérdidas (sin compresión). Por lo tanto, pueden destacarse como de mayor tamaño (bytes) de lo que cabría esperar. Jpeg es un algoritmo con pérdida (incluso con una compresión del 0%), razón por la cual las imágenes que usan esteganografía LSB no se pueden guardar como imágenes jpeg, por lo tanto es improbable que la imagen jpeg contenga esteganografía LSB, sin embargo, esto no descarta otras opciones esteganográficas.

4
JimboJ3ts3t