揭露神祕的隱藏術

【51CTO.com 專家特稿】網絡應用的高速發展，帶來的網絡犯罪案件越來越多。計算機取證逐漸發展成一門 專門的學科，受到計算機安全專家和法律專家的重視。隨着取證技術的發展，高明的計算機犯罪分子在作案前進行周密的計劃和做反跟蹤分析，以及作案時利用反取 證技術之隱藏術進行隱藏特性的數據，避免被取證調查發現蹤跡。那麼什麼是隱藏術？它是怎麼被應用的呢？葉子在本篇文章中將給大家揭露神祕的隱藏術技術，以 及它的一些應用工具。

什麼是Steganography？Steganography有翻譯成“隱藏術”，也有翻譯成“隱寫術”，本文主要以隱藏術來說明。 Stegano graphy（隱藏術）這個單詞是由希臘的詞語裏的“Covered writing（隱藏的筆記）”轉化而來的，是指有隱藏特性的數據。隱藏術的意思是“隱藏在普通的視覺之下”。它不是一個新的概念。隱形墨水和微粒照片這 兩種技術早在計算機誕生之前就已經爲人們所使用，他們將數據隱藏在物體之中，使別人無法從物體上找到線索。

隱藏術就是將數據隱藏在另一個介質中，使得數據被隱藏起來。隱藏術主要是把消息隱藏在圖片中。圖像中每個字節最不重要的比特可以被祕密消息的比特所代替。這種方法並不會在很大程度上影響圖像，所以不能被檢查出來。

隱藏術用一些其他的非加密數據對目標進行隱藏，我們把這種非加密的數據稱爲“載體”。載體通常是一個多媒體文件，可能是聲音文件也可能是圖像文件。

隱藏術並不使用算法和密鑰來加密信息，而是一種將數據隱藏在另一個物體中的過程，從而沒有人會發現該數據的存在。消息可以被隱藏在聲音文件、圖片、硬盤驅動器中從未用過的部分或者標記着不可用的扇區中。

隱藏術通常通過兩種方法對數據進行保護：第一種是使數據不可見，隱藏它的所有痕跡；第二種是對數據進行加密，其過程不僅僅是對數據進行隱藏。如果隱藏的文件被發現，那仍需要對其進行解密才能使用。

隱藏術給取證調查造成很大的麻煩，但幸運的是它的使用受到時間因素的限制，因而沒有得到廣泛的使用。如果你想要“隱藏”一個文件，那你一次只能對一 個文件進行操作。許多事件中包含成百上千個文件，使用人員不可能有時間來找到那麼多合適的載體並僞裝夾帶所有的文件。但是隱藏術可以被用在試圖竊取數據， 把竊取的數據隱藏在一個正常的文件並通過郵件發送出來。

當然隱藏術也有一些正面的作用，如隱藏術可以用來將數字水印嵌入數據圖像中以檢測對該圖像的非法複製等等。

隱藏術的技術已經發展到一定的程度，各種相關的工具都已經被人研發出來。常見的工具有Steghide能把文字嵌入到JPEG, MBP, MP3, WAV 、AU 文件中 。StegFS隱藏加密數據在不使用的Linux ext2文件系統的文件塊中，創建數據“在看起來像這個位置不使用的數據塊，但最近被使用工具隨機字節擦除過”。TrueCrypt允許二次加密文件系統 來隱藏第一次的加密，文件系統內部的文件，目的是允許用戶對文件數據的查看，但不公開敏感的數據。還有更多的使用工具，詳見http: //www.jjtc.com/Steganography/tools.html。

瞭解隱藏術的概念後，葉子將舉個例子來說明隱藏術的應用。葉子以Stash工具爲例子。Stash工具可以把消息隱藏在Win32的圖像中（256- color PCX, BMP / 24-bit BMP, TIFF, PNG, PCX等）。葉子將把一份ttttt.txt的文件通過water lilies.jpge圖像隱藏傳送出去。

◆安裝完Stash工具後，選擇“開始”－>“程序”－>“Data Stash”－>“Start Data Stash”，如下圖所示：

圖1

◆“Data Stash”啓動後如下圖所示：

圖2

◆選擇“Stash”，然後點擊“Go”按鈕，進行重要文件的隱藏操作，進入界面如下圖所示：

圖3

◆查看將要把文件隱藏在圖片中的大小，water lilies.jpge圖片的大小爲83,794字節

圖4

◆把water lilies.jpge圖片拖到“Drag and Drop the vault file here”域區中，把需要隱藏的文件ttttt.txt拖到“Drop and Drop files to be stashed here”域區中

圖5

◆點擊“Stash”按鈕後，如下圖所示，生成的文件覆蓋了原來的文件，新文件的大小爲88,555字節

圖6

◆通過右擊圖片，查看文件大小，文件的大小已經變成88,555字節。如下圖所示：

圖7

◆生成的圖像文件，使用殺毒軟件進行檢測，則沒有發現存在問題。文件可以通過郵件發送出去，在這就不做說明。傳送過程的網絡IDS、網絡防病毒都無法檢測出此文件存在問題。

◆當接收到圖片文件後，可以使用“Stash”工具進行解開圖片的文件，點擊“De-Stash”按鈕，如下圖所示：

圖8

◆把圖片拖到“Drag and Drop the vault file here”區域中，然後點擊“De-stash the Vault”按鈕，如下圖所示： 

圖9

◆在圖片的同目錄下，則會釋放出ttttt.txt文件，可以查看文件中相關的隱祕內容。

圖10

以上的例子簡單說明了隱藏術的應用過程，其它一些使用隱藏術的工具和隱藏原理，在以後的反取證系列的文章中，葉子將逐步進行介紹說明。

【51CTO.COM 獨家特稿，需經書面許可纔可轉載！】