Detectando esteganografía en imágenes

68

Recientemente encontré un archivo JPEG impar: Resolución 400x600 y un tamaño de archivo de 2.9 MB. Sospeché y sospeché que hay información adicional oculta. Intenté algunas cosas sencillas: abrir el archivo con algunas herramientas de archivo; Intenté leer su contenido con un editor, pero no pude localizar nada que interfiriera.

Ahora mis preguntas: ¿Qué más puedo hacer? ¿Hay alguna herramienta disponible que analice las imágenes en busca de datos ocultos? Tal vez una herramienta que escanea en busca de encabezados de archivos conocidos?

    
pregunta Chris 14.02.2011 - 16:17
fuente

5 respuestas

47

Para detectar la esteganografía, todo se reduce al análisis estadístico (no es un tema que conozca muy bien).
Pero aquí hay algunas páginas que pueden ayudarte.

respondido por el Mark Davidson 14.02.2011 - 16:46
fuente
14

Respaldaré la recomendación de Stegdetect: aquí hay otra buena fuente de información enlace , así como las descargas de Stegbreak y XSteg

Puede ir directamente a la fuente de la investigación sobre esto si está interesado; La página de Neil Provos está aquí enlace

    
respondido por el iivel 14.02.2011 - 17:28
fuente
11

Hay algunas referencias generales excelentes en las otras respuestas aquí, así que solo daré algunas sugerencias específicas para su situación:

Cuando oculta datos en imágenes sin cambiar el tamaño del archivo, lo coloca en los bits de orden inferior; Esto se puede detectar abriéndolo en un editor con un histograma y buscando bordes irregulares. Pero esto suena como una concantenación de un archivo a la imagen; * los ciudadanos de chan a menudo usan esta técnica para distribuir archivos ilícitos. La búsqueda de firmas de archivos después de la primera (por ejemplo, usar 'grep -a' con una lista de números mágicos de tipos de archivos conocidos) debería revelar esta técnica. La combinación de cifrado y esteganografía está fuera del alcance de este comentario: D

    
respondido por el user502 15.02.2011 - 21:36
fuente
5

Probablemente sea solo un archivo adjunto al final del JPEG. Busque el EOF o el inicio de un encabezado conocido como PK RAR PE, etc.

    
respondido por el Steven 29.10.2011 - 15:17
fuente
3

Tenga en cuenta que mi comentario a continuación se refiere a la esteganografía LSB (bit menos significativo) y no a jpeg (DCT) o esteganografía de datos adjuntos.

" La esteganografía no modifica significativamente el tamaño del archivo " esto es incorrecto. Si tomo una imagen comprimida en formato jpeg y aplico la esteganografía LSB, el tamaño de imagen resultante en el disco aumentará "significativamente", ya que las imágenes que usan la esteganografía LSB DEBEN guardarse en un formato sin pérdida, como bmp tiff o png. He escrito un software que toma cualquier formato de imagen (como jpeg) y oculta los datos que contiene y los guarda en png. A menudo es el caso que puedo abrir un jpeg de tamaño 60Kb y poder ocultar más de 100Kb de datos dentro de él. El png resultante sería idéntico al jpeg original pero tendría un tamaño de archivo de 800Kb +

Al analizar imágenes para el contenido de la esteganografía LSB, DEBE tener la imagen original para comparar O tener conocimiento del método de codificación. Sin ninguno de estos, NUNCA determinará si una imagen contiene datos LSB ocultos. Considere que hay una multitud de formas de implementar la esteganografía LSB y un número infinito de imágenes para elegir como fuente, no es una tarea trivial determinar el contenido esteganográfico. Dicho esto ... TODAS las imágenes que contengan contenido esteganográfico LSB deben guardarse sin pérdida (sin compresión). Por lo tanto, pueden sobresalir en tamaño más grande (bytes) de lo que podría esperarse. Jpeg es un algoritmo con pérdida (incluso con una compresión del 0%) por lo que las imágenes que utilizan la esteganografía LSB no se pueden guardar como imágenes jpeg, por lo que es poco probable que su gran imagen jpeg contenga la esteganografía LSB, sin embargo, esto no descarta otras opciones esteganográficas. p>     

respondido por el JimboJ3ts3t 03.03.2014 - 10:16
fuente

Lea otras preguntas en las etiquetas