Détection de la stéganographie dans les images
Je suis récemment tombé sur un fichier JPEG étrange: la résolution 400x600 et une taille de fichier de 2,9 Mo. Je me méfie et je soupçonne qu'il y a des informations supplémentaires cachées. J'ai essayé des choses simples: ouvrir le fichier avec des outils d'archivage; essayé de lire son contenu avec un éditeur, mais je n'ai rien trouvé d'intéressant.
Maintenant mes questions: que puis-je faire d'autre? Existe-t-il des outils disponibles pour analyser les images pour les données cachées? Peut-être un outil qui recherche les en-têtes de fichiers connus?
Pour détecter la stéganographie, cela revient vraiment à une analyse statistique (ce n'est pas un sujet que je connais très bien).
Mais voici quelques pages qui peuvent vous aider.
- Contre-mesures et détection de la stéganographie - Une page Wikipedia mérite une lecture pour couvrir les bases.
- n aperçu de la stéganographie pour l'informaticien examinateur - Dispose d'une assez longue liste d'outils et d'autres informations utiles.
- Détection de stéganographie - Quelques informations supplémentaires sur la stégonographie.
- Détection de stéganographie avec Stegdetect - Stegdetect est un outil automatisé pour détecter le contenu stéganographique dans les images. Il est capable de détecter plusieurs méthodes stéganographiques différentes pour intégrer des informations cachées dans les images JPEG. L'outil n'a pas été mis à jour depuis longtemps, mais c'était le meilleur outil gratuit que je pouvais trouver avec une recherche rapide.
J'appuie la recommandation pour Stegdetect: voici une autre bonne source d'information http://www.outguess.org/detection.php ainsi que des téléchargements pour stegbreak et XSteg
Vous pouvez aller directement à la source pour la recherche à ce sujet si vous êtes intéressé; La page de Neil Provos est ici http://www.citi.umich.edu/u/provos/stego/
Il y a d'excellentes références générales dans les autres réponses ici, donc je vais juste donner quelques informations spécifiques à votre situation:
Lorsque vous masquez des données dans des images sans modifier la taille du fichier, vous les placez dans les bits de poids faible; cela peut être détecté en ouvrant dans un éditeur avec un histogramme et en recherchant les bords dentelés. Mais cela ressemble à une concanténation d'un fichier à l'image; * les habitants de chan utilisent souvent cette technique pour distribuer des fichiers illicites. La recherche de signatures de fichier après la première - disons, en utilisant 'grep -a' avec une liste de nombres magiques de type de fichier connus - devrait révéler cette technique. La combinaison du chiffrement et de la stéganographie dépasse le cadre de ce commentaire: D
C'est probablement juste un fichier ajouté à la fin du JPEG. Recherchez le EOF ou le début d'un en-tête connu tel que PK RAR PE, etc.
Veuillez noter que mon commentaire ci-dessous concerne la stéganographie LSB (Least Significant Bit) et non la jpeg (DCT) ou la stéganographie en annexe.
"la stéganographie ne modifie pas la taille du fichier de manière significative" ceci est incorrect. Si je prends une image compressée au format jpeg et que j'applique la stéganographie LSB, la taille de l'image résultante sur le disque augmentera `` considérablement '' car les images utilisant la stéganographie LSB DOIVENT être enregistrées dans un format sans perte tel que bmp tiff ou png. J'ai écrit un logiciel qui prend n'importe quel format d'image (tel que jpeg) et cache les données qu'il contient et enregistre au format png. Il arrive souvent que je puisse ouvrir un fichier jpeg de taille 60 Ko et pouvoir y cacher plus de 100 Ko de données. Le png résultant serait identique au jpeg d'origine mais aurait une taille de fichier de 800Kb +
Lorsque vous analysez des images pour le contenu de stéganographie LSB, vous DEVEZ avoir soit l'image d'origine pour la comparaison OR avoir une connaissance de la méthode de codage. Sans aucun de ces deux, vous ne déterminerez JAMAIS si une image contient des données LSB cachées. il existe une multitude de façons d'implémenter la stéganographie LSB et un nombre infini d'images à choisir comme source, ce n'est pas une tâche triviale de déterminer un contenu stéganographique. Cela dit ... TOUTES les images contenant du contenu stéganographique LSB doivent être enregistrées sans perte (sans Par conséquent, ils peuvent se démarquer par une taille (octets) plus grande que ce à quoi on pourrait s’attendre autrement. Jpeg est un algorithme avec perte (même avec une compression de 0%), ce qui explique pourquoi les images utilisant la stéganographie LSB ne peuvent pas être enregistrées en tant Il est peu probable que l'image jpeg contienne la stéganographie LSB, mais cela n'exclut pas d'autres options stéganographiques.