揭露神秘的隐藏术

【51CTO.com 专家特稿】网络应用的高速发展，带来的网络犯罪案件愈来愈多。计算机取证逐渐发展成一门 专门的学科，受到计算机安全专家和法律专家的重视。随着取证技术的发展，高明的计算机犯罪分子在做案前进行周密的计划和作反跟踪分析，以及做案时利用反取 证技术之隐藏术进行隐藏特性的数据，避免被取证调查发现踪影。那么什么是隐藏术？它是怎么被应用的呢？叶子在本篇文章中将给你们揭露神秘的隐藏术技术，以 及它的一些应用工具。

什么是Steganography？Steganography有翻译成“隐藏术”，也有翻译成“隐写术”，本文主要以隐藏术来讲明。 Stegano graphy（隐藏术）这个单词是由希腊的词语里的“Covered writing（隐藏的笔记）”转化而来的，是指有隐藏特性的数据。隐藏术的意思是“隐藏在普通的视觉之下”。它不是一个新的概念。隐形墨水和微粒照片这 两种技术早在计算机诞生以前就已经为人们所使用，他们将数据隐藏在物体之中，使别人没法从物体上找到线索。

隐藏术就是将数据隐藏在另外一个介质中，使得数据被隐藏起来。隐藏术主要是把消息隐藏在图片中。图像中每一个字节最不重要的比特能够被秘密消息的比特所代替。这种方法并不会在很大程度上影响图像，因此不能被检查出来。

隐藏术用一些其余的非加密数据对目标进行隐藏，咱们把这种非加密的数据称为“载体”。载体一般是一个多媒体文件，多是声音文件也多是图像文件。

隐藏术并不使用算法和密钥来加密信息，而是一种将数据隐藏在另外一个物体中的过程，从而没有人会发现该数据的存在。消息能够被隐藏在声音文件、图片、硬盘驱动器中从未用过的部分或者标记着不可用的扇区中。

隐藏术一般经过两种方法对数据进行保护：第一种是使数据不可见，隐藏它的全部痕迹；第二种是对数据进行加密，其过程不只仅是对数据进行隐藏。若是隐藏的文件被发现，那仍须要对其进行解密才能使用。

隐藏术给取证调查形成很大的麻烦，但幸运的是它的使用受到时间因素的限制，于是没有获得普遍的使用。若是你想要“隐藏”一个文件，那你一次只能对一 个文件进行操做。许多事件中包含成百上千个文件，使用人员不可能有时间来找到那么多合适的载体并假装夹带全部的文件。可是隐藏术能够被用在试图窃取数据， 把窃取的数据隐藏在一个正常的文件并经过邮件发送出来。

固然隐藏术也有一些正面的做用，如隐藏术能够用来将数字水印嵌入数据图像中以检测对该图像的非法复制等等。

隐藏术的技术已经发展到必定的程度，各类相关的工具都已经被人研发出来。常见的工具备Steghide能把文字嵌入到JPEG, MBP, MP3, WAV 、AU 文件中 。StegFS隐藏加密数据在不使用的Linux ext2文件系统的文件块中，建立数据“在看起来像这个位置不使用的数据块，但最近被使用工具随机字节擦除过”。TrueCrypt容许二次加密文件系统 来隐藏第一次的加密，文件系统内部的文件，目的是容许用户对文件数据的查看，但不公开敏感的数据。还有更多的使用工具，详见http: //www.jjtc.com/Steganography/tools.html。

了解隐藏术的概念后，叶子将举个例子来讲明隐藏术的应用。叶子以Stash工具为例子。Stash工具能够把消息隐藏在Win32的图像中（256- color PCX, BMP / 24-bit BMP, TIFF, PNG, PCX等）。叶子将把一份ttttt.txt的文件经过water lilies.jpge图像隐藏传送出去。

◆安装完Stash工具后，选择“开始”－>“程序”－>“Data Stash”－>“Start Data Stash”，以下图所示：

图1

◆“Data Stash”启动后以下图所示：

图2

◆选择“Stash”，而后点击“Go”按钮，进行重要文件的隐藏操做，进入界面以下图所示：

图3

◆查看将要把文件隐藏在图片中的大小，water lilies.jpge图片的大小为83,794字节

图4

◆把water lilies.jpge图片拖到“Drag and Drop the vault file here”域区中，把须要隐藏的文件ttttt.txt拖到“Drop and Drop files to be stashed here”域区中

图5

◆点击“Stash”按钮后，以下图所示，生成的文件覆盖了原来的文件，新文件的大小为88,555字节

图6

◆经过右击图片，查看文件大小，文件的大小已经变成88,555字节。以下图所示：

图7

◆生成的图像文件，使用杀毒软件进行检测，则没有发现存在问题。文件能够经过邮件发送出去，在这就不作说明。传送过程的网络IDS、网络防病毒都没法检测出此文件存在问题。

◆当接收到图片文件后，可使用“Stash”工具进行解开图片的文件，点击“De-Stash”按钮，以下图所示：

图8

◆把图片拖到“Drag and Drop the vault file here”区域中，而后点击“De-stash the Vault”按钮，以下图所示： 

图9

◆在图片的同目录下，则会释放出ttttt.txt文件，能够查看文件中相关的隐秘内容。

图10

以上的例子简单说明了隐藏术的应用过程，其它一些使用隐藏术的工具和隐藏原理，在之后的反取证系列的文章中，叶子将逐步进行介绍说明。

【51CTO.COM 独家特稿，需经书面许可才可转载！】