Как спрятать файл в картинку?
Необходимо спрятать файл в картинку jpg
Некто Антуан Санто опубликовал недавно небольшую работу по поводу скрытия любых файлов в фото в формате jpeg Idl.packetstormsecurity. net/papers/genera l/Embedding_hidden_files_in Jpeg_and_abuses.pdf]. В общем-то, ничего нового он не открыл, но зато все четко и последовательно описал :]. Суть метода, который использовал Антуан, заключается в том, что мы можем хранить/прятать любое количество да иных в exif-заголовках jpeg-файлов. Exif — это стандарт, позволяющий добавлять к изображениям и прочим медиа файлам дополнительную информацию (метаданные), комментирующую этот файл, описывающую условия и способы его получения, авторство итак далее. В общем, метаданные. Все современные фотоаппараты добавляют такую инфу к фоткам, а многие принтеры используют ее для корректной печати. Мы же эти заголовки используем для своих целей. Автор заюзал для своих экспериментов какой-то Linux. Для начала поступим аналогично. Возьмем любую фотку — test.jpg, и файл, который хотим спрятать — evil. ехе. Для начала посмотрим содержимое exif-заголовков Hameroj peg'а:
exiftools test.jpg
Здесь exiftoots— стандартная тулза для работы с exif. Главная особенность exif — количество хранимых данных не ограничено. Единственное ограничение—текстовый формат. Отсюда и решение — конвертируем наш evil.exe в Base64.
uuencode -m evil.exe evil.exe > evil.txt
Здесь uuencode— тулза для работы с конвертацией;-m —указываем, что конвертируем в Base64.
Теперь добавим полученный файл в exif-заголовок файла test.jpg.
exiftool -Comment "<=" evil.txt test.jpg
Где:
• -Comment — указываем имя поля, куда добавить данные;
• "< = " evil.txt— добавить данные из файла evil.txt.
Теперь если ты за пустишь exiftools test.jpg, то обнаружишь изменения в заголовках.
Таким образом, мы все спрятали. Фото при этом никакие изменилось. Разве что размер файла увеличился. Конечно, метод лайтовый, и задетектить его просто. Но самое интересное заключается в том, что мы можем залить этот файл в альбом на facebook или на flickr! Вообще говоря, мы можем залить и файлы, в которых использовались даже более крутые средства стеганографии (инфу прячут в самом изображении], но на всех онлайн-сервисах графические файлы проходят предобработку и содержимое меняется. Но это не касается exif-заголовков! Только Вконтакте эта тема не работает —там имеет место полная обработка изображения. Для декодирования и получения evil.exe из нашего jpeg'a нам требуется выполнить следующую последовательность. Качаем фотку с фэйсбука и далее:
dd if=test_from_FB.jpg of=test_from_FB.uue bs=l skip=24
Где dd — стандартная тулза для конвертации и копирования файлов; if — из какого файла; of — в какой файл; bs=1 — размер блока 1 байт; skip=24 — пропустить первые 24 байта (заголовок jpeg]. Таким образом, мы получим в test_from_FB.uue только текстовые строки, то есть наш evil.exe в Base64. Далее декодируем строку образно в ехе-файл:
uudecode test_from_FB.uue
Вторым плюсом этого метода является его простота. Пример
приведен для "nix'cm, но то же самое можно сделать и в Win, только потребуется больше работать ручками. Например:
1. Заходим в свойства jpeg.
2. Открываем вкладку "Подробно" (это и есть exif).
3. Изменяем любое поле на заметную строку.
exiftools test.jpg
Здесь exiftoots— стандартная тулза для работы с exif. Главная особенность exif — количество хранимых данных не ограничено. Единственное ограничение—текстовый формат. Отсюда и решение — конвертируем наш evil.exe в Base64.
uuencode -m evil.exe evil.exe > evil.txt
Здесь uuencode— тулза для работы с конвертацией;-m —указываем, что конвертируем в Base64.
Теперь добавим полученный файл в exif-заголовок файла test.jpg.
exiftool -Comment "<=" evil.txt test.jpg
Где:
• -Comment — указываем имя поля, куда добавить данные;
• "< = " evil.txt— добавить данные из файла evil.txt.
Теперь если ты за пустишь exiftools test.jpg, то обнаружишь изменения в заголовках.
Таким образом, мы все спрятали. Фото при этом никакие изменилось. Разве что размер файла увеличился. Конечно, метод лайтовый, и задетектить его просто. Но самое интересное заключается в том, что мы можем залить этот файл в альбом на facebook или на flickr! Вообще говоря, мы можем залить и файлы, в которых использовались даже более крутые средства стеганографии (инфу прячут в самом изображении], но на всех онлайн-сервисах графические файлы проходят предобработку и содержимое меняется. Но это не касается exif-заголовков! Только Вконтакте эта тема не работает —там имеет место полная обработка изображения. Для декодирования и получения evil.exe из нашего jpeg'a нам требуется выполнить следующую последовательность. Качаем фотку с фэйсбука и далее:
dd if=test_from_FB.jpg of=test_from_FB.uue bs=l skip=24
Где dd — стандартная тулза для конвертации и копирования файлов; if — из какого файла; of — в какой файл; bs=1 — размер блока 1 байт; skip=24 — пропустить первые 24 байта (заголовок jpeg]. Таким образом, мы получим в test_from_FB.uue только текстовые строки, то есть наш evil.exe в Base64. Далее декодируем строку образно в ехе-файл:
uudecode test_from_FB.uue
Вторым плюсом этого метода является его простота. Пример
приведен для "nix'cm, но то же самое можно сделать и в Win, только потребуется больше работать ручками. Например:
1. Заходим в свойства jpeg.
2. Открываем вкладку "Подробно" (это и есть exif).
3. Изменяем любое поле на заметную строку.
Оставить свой ответ:
