tag:blogger.com,1999:blog-6825196105524127597.post9056875611776932575..comments2022-11-30T07:29:38.221+01:00Comments on IT security blog: Forensic vizsgálatok 6. - Szteganográfiachilicelonahttp://www.blogger.com/profile/10648354507698070963noreply@blogger.comBlogger1125tag:blogger.com,1999:blog-6825196105524127597.post-74961226630822692522009-08-15T22:47:04.677+02:002009-08-15T22:47:04.677+02:00A felderítés megnehezítésére általában az elfedés ...A felderítés megnehezítésére általában az elfedés módszere a legjobb. Mikor elfedjük a valódi tartalmat. Pl: Nem egy kép van, hanem ezer és mindegyikbe belerejtünk valami szemetet :-) vagy egy másik példa : egy képbe - vagy több képbe belerejtünk valami random bithalmazt. De úgy, hogy azért valahogy detektálható legyen. Amíg a felderítők ezt analizálgatják, eközben a valódi információt egészen máshogy és egészen máshova rejtjük el :-) A lényeg az, hogy másnak látszódjon a dolog, mint ami. Tök egyszerű: egy primitív játékprogram valamelyik data fájljába beletesszük a hexá-ba konvertált szöveget.(binárisan felülírjuk) Aki ránéz fingja se lesz róla, hogy mit kellene látnia. Felteszünk még 20 másik játékot mellé (csak félrevezetésként) aztán lehet bit szinten analizálgatni az összes állományt. A legjobb, ha ebben az esetben az exe-ket szándékosan "elrontjuk" így mind futtathatatlan lesz -> nem derül ki, hogy a data fájlokba van a manipulálás.(Az sem lesz egyértelmű, hogy miért nem fut le, mert megmanipulálták, vagy mert hiányzik hozzá valami, esetleg olyan régi, hogy DOS3.2 kellene hozzá vagy c64-es, zx spektrumos játékok datáiba tesszük el az infót stb :) Közbe meg ott vannak a képbe rejtett random számok, amiknek megörül a "szakértő" és eltökölődik velük -> pedig abban nincs semmi lényeges :-) Az adat elrejtők lóhosszal a felderítők előtt járnak. Az ilyen rafinált módon eldugott tartalmak felderítésére egy esély van : Működés közben lefigyelni a dolgot. Kémprogramot tenni a gépre és bízni benne, hogy az adatrejtő ezt nem veszi észre és nem likvidálja idő előtt a cuccot. A kémprogram infói alapján leszűkül az érintett állományok listája és így már nagy az esély a felfedésre. Vagy kémprogram helyett billentyűzet "lehallgató" kütyüket tenni a gépre/géphez. De persze ezt is ki lehet védeni, ha valaki egérkattintgatással elő tudja állítani a cuccot. (Képernyő "lelopással" lehet ilyenkor esetleg próbálkozni) Hogy mennyire előnyben vannak a rejtők a felderítőkkel szemben erre a legjobb példa a Voynich kézirat, amit az 1450-es évek környékén készítettek, de a mai napig nem sikerült megfejteni, hogy mi van benne. Egyébként jó a cikk, kíváncsian várom a folytatást.Anonymousnoreply@blogger.com