Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 13 de junio de 2008

Esteganografía manual

Ante un estegoanalisis del que hablaremos más adelante la mejor técnica para evadirlo es la técnica manual. Para realizar la técnica manual se usa el método LSB (inserción del último bit significante) que consiste en convertir el mensaje a nivel de bits usando la tabla ASCII. El primer paso es estudiar el fichero de imagen a modificar buscando los grupos que conforman cada píxel y deducir cual es la cifra menos significativa. Después sumaremos 1 a dicha cifra cuando el bit del mensaje sea 1 y dejaremos la cifra intacta cuando sea 0, a partir de una determinada posición sin modificar la cabecera. Cada modificación en el fichero cambiara el color de la imagen un punto. Para recuperar el mensaje solo hay que comparar el fichero modificado con el original a partir de la posición modificada.

Ejemplo:

Abrimos el archivo de imagen con un editor hexadecimal:

471696 93 81 d8 1b e9 84 aa 25 18 f4 2b 1b 52 30 41 79 0
471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 25 0
471728 76 d6 d5 c8 da 4d 9f 34 93 81 d8 1b e9 84 aa 43 0
471744 d4 b6 33 ea 72 cc 25 2c 76 d6 d5 c8 da 4d 9f 35 0
471760 18 f4 2b 1b 52 30 41 79 a8 4d 1b 03 19 3c 9e a1 0
471776 ca 95 c3 9c f3 4d 73 c2 0f 1b 9e c0 f7 25 30 41 0
471792 33 7e 26 ae ef 1d 79 7c e2 26 ac eb e4 cc 2c b7 0
471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 11 0

Mirando la tabla ASCII el carácter A en binario 0100 0001.
Sumamos 1 cuando el bit del carácter sea 1 y dejamos la cifra intacta cuando sea 0, a partir de la posición 471696.

471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 25
______________________________________________ +1
471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 26

471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 11
_____________________________________________+1
471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 12

Queda codificado:

471696 93 81 d8 1b e9 84 aa 25 18 f4 2b 1b 52 30 41 79 0
471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 26 1
471728 76 d6 d5 c8 da 4d 9f 34 93 81 d8 1b e9 84 aa 43 0
471744 d4 b6 33 ea 72 cc 25 2c 76 d6 d5 c8 da 4d 9f 35 0
471760 18 f4 2b 1b 52 30 41 79 a8 4d 1b 03 19 3c 9e a1 0
471776 ca 95 c3 9c f3 4d 73 c2 0f 1b 9e c0 f7 25 30 41 0
471792 33 7e 26 ae ef 1d 79 7c e2 26 ac eb e4 cc 2c b7 0
471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 12 1

Para descodificar se compara la imagen esteganografiada con la original a partir de la posición 471696.

Más información:
http://vtroger.blogspot.com/2008/01/esteganografia-avanzada.html
http://vtroger.blogspot.com/2006/09/ocultar-ficheros-con-tcnicas-de.html
http://vtroger.blogspot.com/2008/06/esteganografia-manual.html

# pistus

Ver más