一種常見(jiàn)的方式是利用LSB來(lái)進(jìn)行隱寫(xiě)����,LSB也就是最低有效位 (Least Significant Bit)���。原理就是圖片中的像數(shù)一般是由三種顏色組成�����,即三原色��,由這三種原色可以組成其他各種顏色����,例如在PNG圖片的儲(chǔ)存中�����,每個(gè)顏色會(huì)有8bit���,LSB隱寫(xiě)就是修改了像數(shù)中的最低的1bit����,在人眼看來(lái)是看不出來(lái)區(qū)別的�,也把信息隱藏起來(lái)了���。譬如我們想把’A’隱藏進(jìn)來(lái)的話(huà)�����,如下圖�,就可以把A轉(zhuǎn)成16進(jìn)制的0x61再轉(zhuǎn)成二進(jìn)制的01100001��,再修改為紅色通道的最低位為這些二進(jìn)制串��。
圖4.png
圖4.png
如果是要尋找這種LSB隱藏痕跡的話(huà),有一個(gè)工具是個(gè)神器�,可以來(lái)輔助我們進(jìn)行分析。Stegsolve這個(gè)軟件的下載地址是
http://www.caesum.com/handbook/Stegsolve.jar
打開(kāi)之后�,使用Stegsolve——Analyse——Frame Browser這個(gè)可以瀏覽三個(gè)顏色通道中的每一位,可以在紅色通道的最低位��,發(fā)現(xiàn)一個(gè)二維碼�,然后可以?huà)呙璧玫浇Y(jié)果。
圖6.png
再解一下qrcode�,用在線(xiàn)的就可以http://tool.chinaz.com/qrcode/,得到了flag{AppLeU0}���,如果是隱寫(xiě)的使用了ascii的話(huà)���,可以使用Stegsolve——Analyse——Data Extract來(lái)查看ascii碼。
在這個(gè)過(guò)程中�,我們要注意到,隱寫(xiě)的載體是PNG的格式���,如果是像之前的jpg圖片的話(huà)就是不行的����,原因是jpg圖片對(duì)像數(shù)進(jìn)行了有損的壓縮,你修改的信息可能會(huì)被壓縮的過(guò)程破壞��。而PNG圖片雖然也有壓縮�,但卻是無(wú)損的壓縮���,這樣子可以保持你修改的信息得到正確的表達(dá)��,不至于丟失���。BMP的圖片也是一樣的,是沒(méi)有經(jīng)過(guò)壓縮的�,可以發(fā)現(xiàn)BMP圖片是特別的大的,因?yàn)锽MP把所有的像數(shù)都按原樣儲(chǔ)存��,沒(méi)有壓縮的過(guò)程��。
0x02 隱寫(xiě)與加密
我們先要區(qū)分一個(gè)概念��,隱寫(xiě)術(shù)和加解密的區(qū)別����。其實(shí)說(shuō)起來(lái)很簡(jiǎn)單,加解密的話(huà)���,就是會(huì)出現(xiàn)一些神秘的����,可疑的字符串或者是數(shù)據(jù)之類(lèi)的。而隱寫(xiě)術(shù)的話(huà)�,就是信息明明就在你的面前,你卻對(duì)他視而不見(jiàn)���。隱寫(xiě)術(shù)在CTF中出現(xiàn)時(shí)����,常常會(huì)和加解密結(jié)合起來(lái)一起出現(xiàn)���,或者是一些編碼方式一起出現(xiàn)�����,以提高題目的難度��。
