安全浅谈:计算机安全取证之揭露神秘的隐藏术

安全在线7月10日报道 什么是Steganography?Steganography有翻译成"隐藏术",也有翻译成"隐写术",本文主要以隐藏术来说明。Stegano graphy(隐藏术)这个单词是由希腊的词语里的"Covered writing(隐藏的笔记)"转化而来的,是指有隐藏特性的数据。隐藏术的意思是"隐藏在普通的视觉之下"。它不是一个新的概念。隐形墨水和微粒照片这两种技术早在计算机诞生之前就已经为人们所使用,他们将数据隐藏在物体之中,使别人无法从物体上找到线索。

隐藏术就是将数据隐藏在另一个介质中,使得数据被隐藏起来。隐藏术主要是把消息隐藏在图片中。图像中每个字节最不重要的比特可以被秘密消息的比特所代替。这种方法并不会在很大程度上影响图像,所以不能被检查出来。

隐藏术用一些其他的非加密数据对目标进行隐藏,我们把这种非加密的数据称为"载体"。载体通常是一个多媒体文件,可能是声音文件也可能是图像文件。

隐藏术并不使用算法和密钥来加密信息,而是一种将数据隐藏在另一个物体中的过程,从而没有人会发现该数据的存在。消息可以被隐藏在声音文件、图片、硬盘驱动器中从未用过的部分或者标记着不可用的扇区中。

隐藏术通常通过两种方法对数据进行保护:第一种是使数据不可见,隐藏它的所有痕迹;第二种是对数据进行加密,其过程不仅仅是对数据进行隐藏。如果隐藏的文件被发现,那仍需要对其进行解密才能使用。

隐藏术给取证调查造成很大的麻烦,但幸运的是它的使用受到时间因素的限制,因而没有得到广泛的使用。如果你想要"隐藏"一个文件,那你一次只能对一个文件进行操作。许多事件中包含成百上千个文件,使用人员不可能有时间来找到那么多合适的载体并伪装夹带所有的文件。但是隐藏术可以被用在试图窃取数据,把窃取的数据隐藏在一个正常的文件并通过邮件发送出来。

当然隐藏术也有一些正面的作用,如隐藏术可以用来将数字水印嵌入数据图像中以检测对该图像的非法复制等等。

隐藏术的技术已经发展到一定的程度,各种相关的工具都已经被人研发出来。常见的工具有Steghide能把文字嵌入到JPEG, MBP, MP3, WAV 、AU 文件中 。StegFS隐藏加密数据在不使用的Linux ext2文件系统的文件块中,创建数据"在看起来像这个位置不使用的数据块,但最近被使用工具随机字节擦除过"。TrueCrypt允许二次加密文件系统来隐藏第一次的加密,文件系统内部的文件,目的是允许用户对文件数据的查看,但不公开敏感的数据。