深入理解JPEG图像格式Jphide隐写

路人甲 2016-05-12 10:33:00

0x00 隐写原理


Jphide是基于最低有效位LSB的JPEG格式图像隐写算法,使用JPEG图像作为载体是因为相比其他图像格式更不容易发现隐藏信息,因为JPEG图像在DCT变换域上进行隐藏比空间域隐藏更难检测,并且鲁棒性更强,同时Blowfish算法有较强的抗统计检测能力。

由于JPEG图像格式使用离散余弦变换(Discrete Cosine Transform,DCT)函数来压缩图像,而这个图像压缩方法的核心是:通过识别每个8×8像素块中相邻像素中的重复像素来减少显示图像所需的位数,并使用近似估算法降低其冗余度。因此,我们可以把DCT看作一个用于执行压缩的近似计算方法。因为丢失了部分数据,所以DCT是一种有损压缩(Loss Compression)技术,但一般不会影响图像的视觉效果。

0x01 隐写过程


Jphide隐写过程大致为:先解压压缩JPEG图像,得到DCT系数;然后对隐藏信息用户给定的密码进行Blowfish加密;再利用Blowfish算法生成伪随机序列,并据此找到需要改变的DCT系数,将其末位变为需要隐藏的信息的值。最后把DCT系数重新压回成JPEG图片,下面是个人对隐写过程理解画出的大致流程图。

0x02 隐写实现


(1)Stegdetect

实现JPEG图像Jphide隐写算法工具有多个,比如由Neils Provos开发通过统计分析技术评估JPEG文件的DCT频率系数的隐写工具Stegdetect,它可以检测到通过JSteg、JPHide、OutGuess、Invisible Secrets、F5、appendX和Camouflage等这些隐写工具隐藏的信息,并且还具有基于字典暴力破解密码方法提取通过Jphide、outguess和jsteg-shell方式嵌入的隐藏信息。

(2)JPHS

而这里介绍另一款JPEG图像的信息隐藏软件JPHS,它是由Allan Latham开发设计实现在Windows和Linux系统平台针对有损压缩JPEG文件进行信息加密隐藏和探测提取的工具。软件里面主要包含了两个程序JPHIDE和JPSEEK, JPHIDE程序主要是实现将信息文件加密隐藏到JPEG图像功能,而JPSEEK程序主要实现从用JPHIDE程序加密隐藏得到的JPEG图像探测提取信息文件,Windows版本的JPHS里的JPHSWIN程序具有图形化操作界面且具备JPHIDE和JPSEEK的功能。

1.Windows用户请下载JPHS-05 for Windows,同时也提供下载Linux版本

2.分别准备一个JPEG格式的图片(example.jpg)和一个文本文件(flag.txt)。

由于JPEG文件使用的数据存储方式有多种不能一一演示,这里用最常用的JPEG格式-JPEG文件交换格式(JPEG File Interchange Format,JFIF)作为示例。

这里简单介绍JPEG文件交换格式的JPEG图片的图像开始标记SOI(Start of Image)和应用程序保留标记APP0(Application 0),JPEG文件交换格式的JPEG图片开始前2个字节是图像开始标记为0xFFD8,之后2个字节接着便是应用程序保留标记为0xFFE0,应用程序保留标记APP0包含9个具体字段,这里介绍前三个字段,第一个字段是数据长度占2个字节,表示包括本字段但不包括标记代码的总长度,这里为10个字节,第二个字段是标识符占5个字节0x4A46494600表示“JFIF0”字符串,第三个字段是版本号占2个字节,这里是0X0101,表示JFIF的版本号为1.1,但也可能为其它数值,从而代表了其它版本号。

3.Windows版本可以使用具有图形化操作界面的Jphswin,选择“Open jpeg”打开示例JPEG格式图片example.jpg

如果你选择的不是JPEG格式的图片程序会自动退出,你可以16进制编辑器如Winhex查看图片的图像开始标记SOI和应用程序保留标记APP0,当载入JPEG格式图片会显示一些图片的属性。

4.选择“Hide”选项之后在两次文本框输入相同的密码,这里以输入flag作为密码为例,然后输入要包含隐藏信息的文本。

6.选择“Save jpeg as”选项将图片另存为jpeg格式并输入文件的名称为新的图像文件如C4n-u-find-f14g.jpg。

7.之后便可以看到生成结果和相关信息。

8.第2步到第7步做的是Jhide方式信息隐藏,接下来我们从C4n-u-find-f14g.jpg图片提取出隐藏信息。

9.如果之前你并不知道图片是基于什么方式进行信息隐藏,你可以使用Stegdetect先进行探测。

Stegdetect的主要选项如下:

-q 仅显示可能包含隐藏内容的图像。

-n 启用检查JPEG文件头功能,以降低误报率。如果启用,所有带有批注区域的文件将被视为没有被嵌入信息。如果JPEG文件的JFIF标识符中的版本号不是1.1,则禁用OutGuess检测。

-s 修改检测算法的敏感度,该值的默认值为1。检测结果的匹配度与检测算法的敏感度成正比,算法敏感度的值越大,检测出的可疑文件包含敏感信息的可能性越大。

-d 打印带行号的调试信息。

-t 设置要检测哪些隐写工具(默认检测jopi),可设置的选项如下:

  • j 检测图像中的信息是否是用jsteg嵌入的。
  • o 检测图像中的信息是否是用outguess嵌入的。
  • p 检测图像中的信息是否是用jphide嵌入的。
  • i 检测图像中的信息是否是用invisible secrets嵌入的。

-V 显示软件版本号。

如果检测结果显示该文件可能包含隐藏信息,那么Stegdetect会在检测结果后面使用1~3颗星来标识 隐藏信息存在的可能性大小,3颗星表示隐藏信息存在的可能性最大。

从下图可以看出很可能是Jphide的信息隐藏方式:

10.在知道隐藏方式之后可以开始进行信息提取,和使用JPHS进行信息隐藏过程类似,打开需要提取隐藏信息的图片C4n-u-find-f14g.jpg,输入对应密码(在不知道密码的情况不可以尝试Stegdetect工具里的Stegbreak程序进行基于字典的暴力攻击)flag,密码验证通过JPHS会自动提取隐藏信息,之后便可以另存提取出的信息。

11.打开提取得到的find.txt便可以得到我们想要的隐藏信息。

0x03 参考资料


Jphide原理剖析及检测

基于二次加密的JPhide隐写检测方法

评论

路人甲 2016-05-12 11:23:09

不错,学习了

K

K4r1iNNg 2016-05-12 11:34:43

sctf的

沧浪浪拔出保健 2016-05-13 17:37:13

如果图片被二次截图的话,应该就无法读取里面信息了吧?

路人甲 2016-05-15 01:18:19

不好意思,在介绍应用程序保留标记APP0第一个字段数据长度应为16个字节,当时头脑不清醒QAQ

路人甲 2016-05-15 01:24:28

@沧浪浪拔出保健
static/drops/full/7d702d336e55b8096196b22628c52d73c5183467.jpg 这是原图,不是截图的,我也测试过了,没有问题,你可以试一下: P

路人甲 2016-05-17 21:58:11

@沧浪浪拔出保健 二次截图谁能解出来,我认他做大表哥。

W

whynot 2016-05-18 00:30:12

感谢分享、都是这个感觉好像不太实用啊 跟exif似的

路人甲 2016-05-19 17:27:12

[email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */

路人甲 2016-06-10 20:40:38

@GT 仔细看文章哦( •̀ ω •́ )y

路人甲 2016-06-10 20:42:02

个人博客:hackfun.org,欢迎来玩~

路人甲 2016-06-11 00:38:42

这是个 iJb弄点好的再写

路人甲 2016-06-11 00:41:29

看了半天没看明白你写的是什么。能不能简洁大方得体的表达清楚。就你专业话术多啊

路人甲

真正的路人甲.

twitter weibo github wechat

随机分类

安全管理 文章:7 篇
软件安全 文章:17 篇
Web安全 文章:248 篇
Java安全 文章:34 篇
数据安全 文章:29 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录