计算机取证技术应用:揭露神秘的隐藏术
网络应用的高速发展,带来的网络犯罪案件越来越多。计算机取证逐渐发展成一门专门的学科,受到计算机安全专家和法律专家的重视。随着取证技术的发展,高明的计算机犯罪分子在作案前进行周密的计划和做反跟踪分析,以及作案时利用反取证技术之隐藏术进行隐藏特性的数据,避免被取证调查发现踪迹。那么什么是隐藏术?它是怎么被应用的呢?本篇文章中将给大家揭露神秘的隐藏术技术,以及它的一些应用工具。 什么是Steganography?Steganography有翻译成“隐藏术”,也有翻译成“隐写术”,本文主要以隐藏术来说明。Stegano graphy(隐藏术)这个单词是由希腊的词语里的“Covered writing(隐藏的笔记)”转化而来的,是指有隐藏特性的数据。隐藏术的意思是“隐藏在普通的视觉之下”。它不是一个新的概念。隐形墨水和微粒照片这两种技术早在计算机诞生之前就已经为人们所使用,他们将数据隐藏在物体之中,使别人无法从物体上找到线索。 隐藏术就是将数据隐藏在另一个介质中,使得数据被隐藏起来。隐藏术主要是把消息隐藏在图片中。图像中每个字节最不重要的比特可以被秘密消息的比特所代替。这种方法并不会在很大程度上影响图像,所以不能被检查出来。 隐藏术用一些其他的非加密数据对目标进行隐藏,我们把这种非加密的数据称为“载体”。载体通常是一个多媒体文件,可能是声音文件也可能是图像文件。隐藏术并不使用算法和密钥来加密信息,而是一种将数据隐藏在另一个物体中的过程,从而没有人会发现该数据的存在。消息可以被隐藏在声音文件、图片、硬盘驱动器中从未用过的部分或者标记着不可用的扇区中。 隐藏术通常通过两种方法对数据进行保护:第一种是使数据不可见,隐藏它的所有痕迹;第二种是对数据进行加密,其过程不仅仅是对数据进行隐藏。如果隐藏的文件被发现,那仍需要对其进行解密才能使用。隐藏术给取证调查造成很大的麻烦,但幸运的是它的使用受到时间因素的限制,因而没有得到广泛的使用。如果你想要“隐藏”一个文件,那你一次只能对一个文件进行操作。许多事件中包含成百上千个文件,使用人员不可能有时间来找到那么多合适的载体并伪装夹带所有的文件。但是隐藏术可以被用在试图窃取数据,把窃取的数据隐藏在一个正常的文件并通过邮件发送出来。 当然隐藏术也有一些正面的作用,如隐藏术可以用来将数字水印嵌入数据图像中以检测对该图像的非法复制、盗版跟踪及版权保护等。 隐藏术的技术已经发展到一定的程度,各种相关的工具都已经被人研发出来。常见的工具有Steghide能把文字嵌入到JPEG, MBP, MP3, WAV 、AU 文件中 。StegFS隐藏加密数据在不使用的Linux ext2文件系统的文件块中,创建数据“在看起来像这个位置不使用的数据块,但最近被使用工具随机字节擦除过”。TrueCrypt允许二次加密文件系统来隐藏第一次的加密,文件系统内部的文件,目的是允许用户对文件数据的查看,但不公开敏感的数据。还有更多的使用工具,详见http://www.jjtc.com/Steganography/tools.html。 了解隐藏术的概念后,举个例子来说明隐藏术的应用。以Stash工具为例子。Stash工具可以把消息隐藏在Win32的图像中(256-color PCX, BMP / 24-bit BMP, TIFF, PNG, PCX等)。把一份ttttt.txt的文件通过water lilies.jpge图像隐藏传送出去。
◆安装完Stash工具后,选择“开始”->“程序”->“Data Stash”->“Start Data Stash”,“Data Stash”启动后如下图所示:
附件:
您所在的用户组无法下载或查看附件◆选择“Stash”,然后点击“Go”按钮,进行重要文件的隐藏操作,进入界面如下图所示:
附件: 您所在的用户组无法下载或查看附件
◆查看将要把文件隐藏在图片中的大小,Bliss.bmp图片的大小为1,440,054字节
附件:
您所在的用户组无法下载或查看附件◆把Bliss.bmp图片拖到“Drag and Drop the vault file here”域区中,把需要隐藏的文件test.txt拖到“Drop and Drop files to be stashed here”域区中
附件: 您所在的用户组无法下载或查看附件
◆点击“Stash”按钮后,如下图所示,生成的文件覆盖了原来的文件,新文件的大小为1,441,231字
附件: 您所在的用户组无法下载或查看附件
◆通过右击图片,查看文件大小,文件的大小已经变成1,441,231字节。如下图所示:
附件: 您所在的用户组无法下载或查看附件
◆生成的图像文件,使用杀毒软件进行检测,则没有发现存在问题。文件可以通过邮件发送出去,在这就不做说明。传送过程的网络IDS、网络防病毒都无法检测出此文件存在问题。
◆当接收到图片文件后,可以使用“Stash”工具进行解开图片的文件,点击“De-Stash”按钮,如下图所示:
附件:
您所在的用户组无法下载或查看附件◆把图片拖到“Drag and Drop the vault file here”区域中,然后点击“De-stash the Vault”按钮,如下图所示:
附件: 您所在的用户组无法下载或查看附件
◆选择释放目录后,则会释放出test.txt文件,可以查看文件中相关的隐秘内容。
附件:
您所在的用户组无法下载或查看附件以上的例子简单说明了隐藏术的应用过程。
