（10.1）【隐寫發現】基本過程模型、發現隐寫步驟

目錄

​​一、曆史：​​

​​二、步驟1 :發現隐寫工具​​

​​簡介：​​

​​示例：​​

​​三、步驟2：檢查載體檔案​​

​​簡介：​​

​​方法：​​

​​四、步驟3: 提取隐藏内容​​

​​簡介：​​

一、曆史：

都聽到過這樣一句話”這就像是在幹草堆裡找一根針＂ 。由于某些曆史原因， 人們通常認為這句話出自St.ThomasMore千1532年寫的“要想在他的書中找某行字， 就像是在一個牧場裡找一根針。” 為了表達與此相當的難度， 我在美國喬治梅森大學(George Mason University)的一次演講中， 将檢測隐寫術的難度類比為在幹草堆裡找一根大家都知道的針。然而， 觀衆席中的NeilJohnson博士立即糾正了我的錯誤， 他說更确切的說法應該是“在幹草堆裡尋找某根草。”

近10年來， 通過收集資料、直接進行實驗和深入分析已知的隐寫程式， 我們在資料隐藏和隐寫術的檢測技術方面已經取得了很大的進步。雖然每次驗證調查的場景都不同， 将抽象出一個關于隐寫識别和隐藏消息發現的基本模型

隐寫驗證分析步驟 

二、步驟1 :發現隐寫工具

簡介：

第一步需要通路可疑資料存儲容器。首先要建立一個供驗證分析的儲存設備的有效鏡像或執行寫阻塞掃描。其中可能包括本地儲存設備、遠端儲存設備、記憶棒、SD卡等。然後， 掃描鏡像并識别其中的隐寫或資料隐藏程式。掃描過程中， 不僅要查找可執行檔案，還要搜尋與這些已知的隐寫程式相關的附屬檔案和系統資料庫項。此外， 還會檢查Web曆史記錄、已下載下傳應用程式， 以及嫌疑人執行的與隐寫相關的網絡搜尋。這一步相當重要， 它直接關系到後面兩個步驟能否順利進行。

我們對可供嫌疑人使用的隐寫工具了解得越多， 後面的檢測步驟就越有針對性。例如， 如果我們發現嫌疑人曾經下載下傳過JP Hide and Seek（簡稱JPHS) 工具， 并在這台計算機中找到了該程式， 且曾在最近三天使用過， 那麼後續步驟就更加關鍵了。

示例：

如果JPHS 是我們在可以計算機中發現的唯一的隐寫程式， 那麼可以據此推導出如下結論：

（1）由于JPHS 隻能處理JPEG 檔案， 那麼我們就可以縮小載體檔案的查找範圍（隻查找JPEG 檔案）。

（2）最近3 天内通路過的JPEG 檔案， 可能就是載體檔案。

（3）最近3 天内修改過的JPEG 檔案， 可能就是用隐寫工具嵌入資料的檔案。

美國州立和本地執法部門可以從卓越電子犯罪技術中心(Electronic Crime Technology Center of Excellence, ECTCOE) 免費擷取檢查工具Trait Analytic Program Serarcb（簡稱T.A.P.S.）， 使用這個工具就可以執行第1 步檢查工作(NIJ)

三、步驟2：檢查載體檔案

簡介：

基于第一步的檢查結果， 我們可以收集到疑似的載體檔案。我們可以根據檔案類型、日期和時間， 或者其他與案例相關的資料來過濾這些檔案。根據不同的條件過濾出可能性較大的載體檔案後， 就可以用如下3種方法對其進行分析了。

方法：

（1）針對可疑載體執行基千數字簽名的異常檢測， 很多隐寫程式修改載體檔案後産生的特征都是可以檢測的。例如， 隐寫程式Camouflage 是通過在檔案結束符後面追加資料來嵌入隐藏資訊的。數字簽名檢測算法可以很容易地發現并上封包件異常，進而識别出有問題的檔案。

（2）執行更複雜的隐寫盲檢測算法。盲檢測算法會計算每個可疑檔案的統計資訊，再與“已知的正常“ 圖像模型或多媒體檔案的統計資訊對比，然後上報所有差異内容，推薦進一步的分析方法。

（3）通過人工分析前兩步的執行結果，手工檢查可疑檔案。本步驟中，還會對可疑檔案進行視覺、聽覺及多因素渲染。例如，如果懷疑一個真彩圖像( BMP、PNG等）中通過LSB方法嵌入了隐藏資訊，那麼，我們僅渲染LSB值就可以确定圖像中LSB值的分布是一條有意義的資訊，還是無意義的随機資料。若為後者，則意味着圖像中的LSB值被替換過了。

四、步驟3: 提取隐藏内容

簡介：

一旦将檢測範圍縮小到一些可能性很高的檔案，我們就可以破解這些檔案，來提取其中的隐藏資訊。普通加密檔案的加密算法都是标準化的，且不同的加密檔案之間可以互操作。隐寫中的加密與此不同，每個隐寫程式嵌入資料時都會使用不同的加密方法。了解資料嵌入使用的是哪個隐寫程式是破解隐藏資訊的關鍵因素。

确定嫌疑人使用的隐寫程式的最常用方法如下：

（1）通過步驟1（隐寫工具檢測）确定隐寫程式。

（2）通過步驟2 （載體檔案檢查）得到的特征資料推導出使用的隐寫程式。