信息真?zhèn)巫R(shí)別與處理技術(shù)研究

◆吳文燦 張 鵬 麥永浩（通訊作者）

（湖北警官學(xué)院 湖北 430034）

0 引言

面對(duì)管理日趨嚴(yán)格的網(wǎng)絡(luò)環(huán)境，犯罪分子的犯罪手段也越來(lái)越隱蔽，他們善于利用網(wǎng)絡(luò)上一些信息隱藏工具，把犯罪信息隱藏起來(lái)或者進(jìn)行加密，這就使偵辦案件的人員不能夠輕易地發(fā)現(xiàn)犯罪痕跡，給破案增加了難度。因此，對(duì)于取證的人員來(lái)說(shuō)，發(fā)現(xiàn)隱藏的犯罪信息變得非常重要，判斷某一個(gè)或某幾個(gè)文件是普通文件，還是經(jīng)過(guò)加密或修改了的“犯罪文件”，以及如何破解加密文件和發(fā)現(xiàn)文件哪一部分被修改的，就變得至關(guān)重要了。

在司法鑒定中隱寫(xiě)分析的最終目標(biāo)，是為了提取出秘密信息作為呈堂證據(jù)[1]，在進(jìn)行數(shù)據(jù)取證時(shí)，取證人員往往需要運(yùn)用多種隱寫(xiě)檢測(cè)方法，多數(shù)情況下檢測(cè)分析對(duì)象也是不確定的，因此，高效、準(zhǔn)確地實(shí)現(xiàn)數(shù)字取證隱寫(xiě)分析已成為一個(gè)亟待解決的問(wèn)題。本文對(duì)幾種常見(jiàn)的信息隱藏技術(shù)進(jìn)行了分類(lèi)，并給出了相應(yīng)的解決方案。

1 更改文件拓展名

在反取證手段中最常見(jiàn)的一種就是用過(guò)更改文件拓展名來(lái)隱藏犯罪信息，這一方式操作簡(jiǎn)單，且不易被察覺(jué)，僅僅通過(guò)一般的取證手段是很難發(fā)現(xiàn)此類(lèi)被修改的文件?！案奈募卣姑鳖櫭剂x就是把本來(lái)屬于某一文件的格式，通過(guò)修改其拓展名轉(zhuǎn)換成另一種格式。比如：某一文件原來(lái)是“.doc”，修改拓展名后變?yōu)椤?dll”，如此一來(lái)，文件的格式就變的跟之前毫無(wú)關(guān)聯(lián)，犯罪信息也就被隱藏起來(lái)，如果辦案人員只針對(duì)“.doc”的文件進(jìn)行查找，必定不會(huì)有任何結(jié)果。

可以明顯的看到，修改之后除了文件的圖標(biāo)發(fā)生改變之外，文件的大小、占用空間、創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間等屬性信息都沒(méi)有發(fā)生變化。所以這種更改方式只是給文件換了一個(gè)外殼，文件內(nèi)容并沒(méi)有發(fā)生變化。針對(duì)這一情況，我們可以通過(guò)查看文件頭的內(nèi)容對(duì)文件拓展名是否修改進(jìn)行判斷。下面是通過(guò)WinHex查看該文件內(nèi)容的結(jié)果：

圖1 原文件

修改后：

圖2 修改后的文件

圖3 用WinHex查看“.doc”文件

圖4 用WinHex查看“.dll”文件

通過(guò)兩張圖片的對(duì)比可以發(fā)現(xiàn)，不管文件拓展名被修改成什么樣子，文件頭的內(nèi)容是不會(huì)被修改的，通過(guò)查看文件頭就能知道，此文件原來(lái)是屬于何種類(lèi)型的，是否被修改。

2 文件加密

文件加密技術(shù)是一種在操作系統(tǒng)級(jí)自動(dòng)加密寫(xiě)入存儲(chǔ)介質(zhì)的數(shù)據(jù)的技術(shù)。文件加密按加密方法可分為兩類(lèi)：一類(lèi)是Windows系統(tǒng)的文件加密功能，另一類(lèi)是商業(yè)加密軟件實(shí)現(xiàn)的加密算法[2]。Windows系統(tǒng)有五種加密方法，商業(yè)加密軟件分為驅(qū)動(dòng)級(jí)加密和插件級(jí)加密；加密算法可分為三類(lèi)：IDEA算法、RSA算法、AES算法。

2.1 Windows系統(tǒng)的文件加密功能

在Windows系統(tǒng)的文件加密功能是系統(tǒng)自帶的，即不需要連接外網(wǎng)，也不需要使用專(zhuān)業(yè)的軟件工具就能對(duì)文件加密。目前最常用的有兩種加密方式，一種是普通的加密方式，另一種是限制其他用戶訪問(wèn)的方式，無(wú)論哪一種方式，其目的都是為了讓除了使用這臺(tái)電腦的人，其他用戶都無(wú)法訪問(wèn)該文件，換句話說(shuō)就是文件加密后，在本機(jī)上打開(kāi)文件不需要輸入密碼，但是當(dāng)把該文件拷貝到另一臺(tái)設(shè)備時(shí)，設(shè)備是無(wú)法訪問(wèn)該加密文件的。具體的操作方式在網(wǎng)上中有詳細(xì)的介紹，可自行搜索。

Windows系統(tǒng)自帶的加密方式雖然操作方便，實(shí)用性強(qiáng)，但是其保密性不高，容易破解，每種加密方式都可以找到對(duì)應(yīng)的解密方式，而且都是公開(kāi)的。還有一種情況是，由于在本機(jī)上打開(kāi)該加密文件不需要輸入密碼，因此可以使用仿真系統(tǒng)運(yùn)行該硬盤(pán)的鏡像，找到目標(biāo)文件即可，不需要花費(fèi)時(shí)間去破解加密文件。

2.2 軟件加密

除了Windows系統(tǒng)自帶的加密方式可以加密文件之外，還有使用第三方軟件對(duì)文件進(jìn)行加密的加密途徑，目前該類(lèi)軟件層出不窮，但歸根結(jié)底主要有三種加密算法：IDEA 算法、RSA算法、AES算法。

2.2.1 IDEA算法

IDEA（International Data Encryption Algorithm）,IDEA加密算法是一種長(zhǎng)度為64位的分組密碼算法。密鑰長(zhǎng)度為128位，并由8輪迭代操作實(shí)現(xiàn)。與DES類(lèi)似，IDEA算法是一種分組加密算法，它設(shè)計(jì)了一系列加密輪，每一輪加密都使用一個(gè)子密鑰從密鑰中生成完整的加密密鑰[3]。整個(gè)算法包括密鑰生成、數(shù)據(jù)加密和數(shù)據(jù)解密三部分。加密算法指定明文和密文塊為64位，密鑰長(zhǎng)度為128位。加密和解密是一樣的，但密鑰是不同的。

加密過(guò)程。輸入明文是8個(gè)字符（即，64位）。64位的數(shù)據(jù)塊被分成四個(gè)子塊X1、X2、X3和X4，每個(gè)都是16位。這4個(gè)區(qū)塊將是輸入的第一次迭代，所有的8輪迭代。在每一輪中，4個(gè)子塊是互斥的，添加和相乘，并且是不同的或添加和乘以與6位16子密鑰。最后，在輸出變換，4個(gè)子塊的操作與4個(gè)子鍵。加密過(guò)程如圖5所示。

圖5 IDEA算法加密過(guò)程

解密過(guò)程。像加密密鑰一樣，解密密鑰需要擴(kuò)展。不同的是，解密密鑰由密鑰，此外，逆或乘法的逆運(yùn)算，和他們一一對(duì)應(yīng)。IDEA加密算法的解密過(guò)程與加密過(guò)程中，加密密鑰是加密，解密的密鑰用于解密。輸入密文也是8個(gè)字符（64位）。64位的數(shù)據(jù)塊被分成四個(gè)子塊，Y1，Y3，Y4和Y2，每個(gè)都是16位。這4個(gè)區(qū)塊將是輸入的第一次迭代，所有的8輪迭代。解密過(guò)程如圖6所示。

圖6 IDEA算法解密過(guò)程

IDEA算法加密、解密速度快，算法公開(kāi)，它比傳統(tǒng)的DES算法相對(duì)安全一些。

2.2.2 RSA算法

RSA算法屬于公鑰密碼體制，即加密密鑰與解密密鑰兩者之間是無(wú)法互相推導(dǎo)出來(lái)的，這就消除了通信雙方需要交換密鑰的麻煩，公鑰、加密方式、解密方式都是公開(kāi)的，唯獨(dú)私鑰是保密的。RSA是目前研究最為廣泛的公鑰算法。它已被測(cè)試了30年以上的各種攻擊，因?yàn)樗蚬娊榻B。它被公認(rèn)為是最好的公鑰方案之一。

密鑰產(chǎn)生。RSA算法最終會(huì)產(chǎn)生兩個(gè)密鑰，一個(gè)公鑰PU，一個(gè)私鑰PR。

（1）選擇p，q，p和q都是質(zhì)數(shù)，p≠q;

（2）計(jì)算n = p*q;

（3）計(jì)算N = (p-1)(q-1);

（4）選擇整數(shù)e，gcd(N，e) = 1；1 < e < N;

（5）計(jì)算d，d ≡ e-1(mod N);

（6）公鑰為 PU = {e，n}；私鑰 PR = {d，n};

（7）公鑰給甲方，私鑰給乙方[4]。

加密過(guò)程。假設(shè)甲方想給乙方發(fā)送一條明文消息，記作m，甲方已知乙方有私鑰。甲方使用起先與乙方約好的格式將m轉(zhuǎn)換為一個(gè)小于n的整數(shù)M。假如信息非常長(zhǎng)的話，可以將這個(gè)信息分為幾段，然后將每一段轉(zhuǎn)換為 M，總之每一段明文 M都要小于n。用下面這個(gè)公式甲方可以將M加密為密文C：

C = Me（mod n）

解密過(guò)程。明文M = Cd（mod n）

整個(gè)算法中兩個(gè)質(zhì)數(shù)p和q以及私鑰中的整數(shù)d是要保密的，RSA算法的安全性原理就是認(rèn)為將任意的兩個(gè)大素?cái)?shù)的乘積再分解為兩個(gè)大素?cái)?shù)是極其困難的[5]。

2.2.3 AES算法

AES（Advanced Encryption Standard）屬于對(duì)稱(chēng)分組密碼算法，明文分組的長(zhǎng)度為128位即16字節(jié)，密鑰長(zhǎng)度可以為128，192或256位，其目的是取代原先的DES，目前已被廣泛地使用。與公鑰體制密碼（如：RSA）相比，AES以及大多數(shù)對(duì)稱(chēng)密碼的結(jié)構(gòu)都很復(fù)雜，下圖是AES加密與解密過(guò)程圖。

圖7 AES加密和解密

從圖中可以看出加密和解密過(guò)程中，共經(jīng)過(guò)10輪，每一輪由四個(gè)不同階段組成：字節(jié)代替，行移位，列混淆，輪密鑰加。其中第10輪不包含列混淆這個(gè)階段。

與DES和RSA加密算法相比，AES加密算法具有加密速度快、加密強(qiáng)度高、不占用硬件資源等優(yōu)點(diǎn)。

除了上述三中加密算法之外，還有一些軟件沒(méi)有對(duì)文件內(nèi)容進(jìn)行加密，只是簡(jiǎn)單地設(shè)置了訪問(wèn)密碼，位數(shù)最高的可達(dá)到200位。

綜上所述，想要破解IDEA算法，關(guān)鍵是找到其所用128位的密鑰，通過(guò)乘法逆或加法逆運(yùn)算計(jì)算出解密密鑰；想要破解RSA算法，關(guān)鍵是找到兩個(gè)質(zhì)數(shù)p和q，通過(guò)p和q可以計(jì)算出其他的元素；想要破解AES算法，關(guān)鍵是找到128位的拓展密鑰。如果這些關(guān)鍵信息沒(méi)有的話，通常使用暴力破解法，不過(guò)這對(duì)于計(jì)算機(jī)的性能以及運(yùn)算速度是要求很高的，普通的家庭計(jì)算機(jī)難以勝任。

3 虛擬磁盤(pán)

虛擬磁盤(pán)就是用內(nèi)存資源虛擬出一個(gè)或者多個(gè)磁盤(pán)的技術(shù)。虛擬磁盤(pán)由于是從內(nèi)存中分離出的一塊存儲(chǔ)空間，所以虛擬磁盤(pán)的運(yùn)行速度是一邊硬盤(pán)的幾十倍，利用虛擬磁盤(pán)可以加快數(shù)據(jù)的傳輸。

虛擬磁盤(pán)創(chuàng)建成功后，再用Bitlocker進(jìn)行加密，就可以達(dá)到加密文件的效果。

3.1 分區(qū)盤(pán)符加密：Bitlocker

Windows Bitlocker驅(qū)動(dòng)器加密是Windows系統(tǒng)自帶的一種加密方式，是對(duì)系統(tǒng)中的分區(qū)進(jìn)行加密，Bitlocker使用TMP保護(hù)計(jì)算機(jī)上用戶數(shù)據(jù)。并不是所有的 Windows操作系統(tǒng)都支持Bitlocker加密，只有在Windows Vista的Enterprise版和Ultimate版才能夠?qū)崿F(xiàn)。TMP是指符合可信賴(lài)平臺(tái)模塊標(biāo)準(zhǔn)的安全芯片，其具有加密解密的功能，并能完成高速數(shù)據(jù)的加密解密，以及充當(dāng)保護(hù)BIOS和操作系統(tǒng)不被修改的輔助處理器。

3.2 加密與解密

使用Bitlocker加密分區(qū)的方法，可自行搜索，加密完成后，當(dāng)計(jì)算機(jī)重新開(kāi)機(jī)后，必須通過(guò)輸入密碼才能訪問(wèn)次分區(qū)磁盤(pán)。對(duì)于安全性要求高的數(shù)據(jù)機(jī)密時(shí)，可以將密鑰文件保存在移動(dòng)U盤(pán)上，這樣在每次重啟開(kāi)機(jī)時(shí)，都必須將此U盤(pán)連接上才能訪問(wèn)[7]。解除方面，對(duì)于Bitlocker加密功能的解除非常簡(jiǎn)單，只需打開(kāi)“控制面板-系統(tǒng)安全-管理Bitlocker”界面，單擊要解除功能的驅(qū)動(dòng)器右側(cè)的“關(guān)閉Bitlocker”，再點(diǎn)擊“解密驅(qū)動(dòng)器”，進(jìn)入解密過(guò)程，等待解密完成即可。

圖8 Bitlocker驅(qū)動(dòng)器加密界面

以上是對(duì)bitlocker加密原理的闡述，虛擬磁盤(pán)本身也有隱藏的技術(shù)，只要在磁盤(pán)管理器里將虛擬磁盤(pán)“脫機(jī)”出去，虛擬磁盤(pán)就在磁盤(pán)列表中“消失”了，當(dāng)需要訪問(wèn)時(shí)，再點(diǎn)擊“聯(lián)機(jī)”就行了。

總之，虛擬磁盤(pán)的隱藏方式與Bitlocker加密方式相結(jié)合就能更好的對(duì)文件進(jìn)行加密。目前對(duì)于 Bitlocker驅(qū)動(dòng)器加密只有Fraunhofer SIT安全實(shí)驗(yàn)室公開(kāi)表示，他們能夠破解，但這并不表示Bitlocker已經(jīng)不安全了。

圖9 虛擬磁盤(pán)隱藏方式

如果犯罪分子把重要文件用此種方式加密隱藏，關(guān)鍵就要找到加密的密碼，或者加密的U盤(pán)，這就對(duì)進(jìn)行現(xiàn)場(chǎng)勘查的人員有比較高的要求，不放過(guò)任何可能藏有密碼和小型存儲(chǔ)介質(zhì)的角落。

4 信息隱寫(xiě)

信息隱寫(xiě)是指把隱秘信息隱藏在大量的文件中，如：圖像、音頻、視頻等媒體文件中，僅靠人的感官是無(wú)法識(shí)別出來(lái)的一種隱藏信息的技術(shù)。在日常的通訊活動(dòng)中，該方法已經(jīng)被使用了很多年，如今，有大量的軟件工具能幫助人們把重要信息隱藏在圖片文件、HTML網(wǎng)頁(yè)文件、DOC文件、以及其他文件中。

信息隱寫(xiě)包含一下技術(shù)指標(biāo)：不可見(jiàn)性，魯棒性，隱藏容量[8]。

不可見(jiàn)性是隱寫(xiě)技術(shù)的基本要求，在秘密信息嵌入載體之后，必須保證不影響載體的（視）聽(tīng)覺(jué)效果和性能規(guī)律，做到不易被察覺(jué)和觀測(cè)到。

魯棒性是隱寫(xiě)技術(shù)的核心要求，一旦發(fā)現(xiàn)嵌入信息的存在性、檢測(cè)到嵌入信息的位置或者估計(jì)出密鑰，那么該隱寫(xiě)系統(tǒng)就宣告失敗。一個(gè)具有較強(qiáng)魯棒性的隱寫(xiě)系統(tǒng)才是好的隱寫(xiě)系統(tǒng)。

隱藏容量是指在保證隱蔽性的前提下，盡可能多地嵌入秘密信息來(lái)進(jìn)行信息的發(fā)送。

隱藏信息的方式無(wú)非兩種，一種是置換，另一種是填充。置換是指把原文件中的某一部分內(nèi)容改寫(xiě)成不想讓人發(fā)現(xiàn)的信息，但不影響原文件的使用，或者是對(duì)原文件的修改無(wú)法被人的感官輕易地發(fā)現(xiàn)。填充是指在原文件的頭部或尾部寫(xiě)入想要隱藏的信息，同樣對(duì)原文件的使用沒(méi)有影響。在文獻(xiàn)[9]中對(duì)音頻隱寫(xiě)有詳細(xì)的說(shuō)明。本文就圖片隱寫(xiě)為例，說(shuō)明圖片隱寫(xiě)的相關(guān)技術(shù)。

4.1 填充

填充的方式非常簡(jiǎn)單，不需要任何軟件工具的幫助，即可完成。這種方式的優(yōu)點(diǎn)在于操作簡(jiǎn)單，填充文件大小不限，圖片文件不受損。缺點(diǎn)是文件大小可能會(huì)有改變，如果一個(gè)清晰度不高的圖片，大小卻是好幾M，就很容易被人發(fā)現(xiàn)。

填充之前的圖片為test.png如圖10所示。

圖10 test.png(原圖)

再創(chuàng)建一個(gè).txt文檔，里面有需要傳遞的信息，如圖11所示。

圖11 test.txt

在命令提示符中輸入“copy test.png /b + test.txt new.png”，就會(huì)生成二者的合成文件new.png。

圖12 輸入命令

把new.png用記事本打開(kāi)，會(huì)發(fā)現(xiàn).txt里的內(nèi)容已經(jīng)被填充在文件尾部，如圖13所示。

圖13 用記事本打開(kāi)的結(jié)果

而new.png從表面上看起來(lái)與test.png一模一樣，都能正常的打開(kāi)。

圖14 new.png

4.2 置換

最常用的置換方式是通過(guò)LSB進(jìn)行的，LSB(Least Significant Bit)即最低有效位。原則是人的眼睛在像素的靈敏度，微妙的變化，利用R、G、B三種顏色的圖像隱藏的最低點(diǎn)，嵌入率為12.5%，是目前公認(rèn)的大量的信息隱藏算法，而且算法簡(jiǎn)單嵌入速度快[10]。世界上任何一種顏色都是由紅、綠、藍(lán)三原色組成的，所以在處理顏色問(wèn)題時(shí)，全世界規(guī)定 RGB色彩模式作為統(tǒng)一的顏色標(biāo)準(zhǔn)。通過(guò)規(guī)定紅色（Red）、綠色（Green）、藍(lán)色（Blue）三色的顏色通道的變化，以及他們之間相互疊加的組合結(jié)果給每一種顏色標(biāo)注了對(duì)應(yīng)的編號(hào)。紅、綠、藍(lán)的顏色通道各為256階亮度，“0”表示最弱，即“關(guān)燈”狀態(tài)，“255”表示最強(qiáng)，即最亮的狀態(tài)。

了解了LSB和RGB之后，舉一個(gè)例子來(lái)說(shuō)明。表示單一的紅色，則把紅色的亮度調(diào)為255，轉(zhuǎn)為二進(jìn)制就是11111111，藍(lán)色和綠色亮度調(diào)為0，轉(zhuǎn)為二進(jìn)制就是00000000，三色疊加后結(jié)果還是紅色，現(xiàn)在想把字母“A”加到圖片當(dāng)中，“A”的 ASCII碼值是65，轉(zhuǎn)為二進(jìn)制就是01000001，通過(guò)LSB轉(zhuǎn)換后，紅色的最后一位變成0，藍(lán)色和綠色的最后一位變成1，雖然有變化，但是對(duì)于人眼來(lái)說(shuō)，想分辨這一點(diǎn)幾乎是不可能的。

圖15 變化前

圖16 變化后

這種置換的方式把信息隱藏的足夠安全，不僅沒(méi)有改變文件的大小，也沒(méi)有破壞原圖的內(nèi)容，就算是專(zhuān)業(yè)人士也很難判斷圖片中是否隱藏有關(guān)鍵信息。缺點(diǎn)是一張圖片可隱藏的信息有限，而且提取隱藏的信息比較麻煩，需要使用專(zhuān)業(yè)的軟件工具。

在遇到這一類(lèi)問(wèn)題時(shí)，首先要判斷的是嫌疑人是否使用了這種隱寫(xiě)技術(shù)，那就需要查看計(jì)算機(jī)上的應(yīng)用程序，嫌疑人是否使用了，或曾經(jīng)使用過(guò)該類(lèi)的軟件工具，如果使用過(guò)，則從該軟件入手，分析該軟件的數(shù)據(jù)，再進(jìn)一步找到目標(biāo)圖片。此類(lèi)技術(shù)的實(shí)現(xiàn)一定需借助專(zhuān)業(yè)工具，所以從軟件層面著手分析是可行的。

5 總結(jié)

本文對(duì)幾種常見(jiàn)的反取證手段進(jìn)行了闡述，從原理出發(fā)，根據(jù)不同的原理，提出針對(duì)性的應(yīng)對(duì)措施，辦案人員在處理此類(lèi)案件時(shí)需找到病因，對(duì)癥下藥，否則可能遺漏關(guān)鍵信息，導(dǎo)致案件偵辦過(guò)程停滯不前，貽誤最佳破案時(shí)機(jī)。還有其他的手段本文沒(méi)有提及到，日后可做進(jìn)一步研究。

[1]姚秋鳳，麥永浩，吳燕波.面向數(shù)字取證的異常隱寫(xiě)檢測(cè)分析方法及系統(tǒng)研究[J].湖北警官學(xué)院學(xué)報(bào)，2015.

[2]http://baike.baidu.com/link?url=cnyAWukOQe3hQkc9q Dxar2AZ7ItqjIAnByJcY0pHNnKu3TA2Nu0AdsMO8ByvKyTeC hveUQN7gubQyoi4C2KcoAHaO7J3PgSVnE2F9r6P4ZDjODaLl kRAalZj3txhAWvY#4.

[3]http://www.jiamisoft.com/blog/index.php/5806-eccjiami suanfamangqianming.html.

[4]William Stallings.Cryptography and Network Security[M].北京：電子工業(yè)出版社，2012.

[5]程曉榮，馬力，何壯壯.公鑰RSA加密算法的分析與改進(jìn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[6]http://baike.baidu.com/link?url=cnyAWukOQe3hQkc9q Dxar2AZ7ItqjIAnByJcY0pHNnKu3TA2Nu0AdsMO8ByvKyTeC hveUQN7gubQyoi4C2KcoAHaO7J3PgSVnE2F9r6P4ZDjODaLl kRAalZj3txhAWvY#4.

[7]周泰來(lái).電子文檔的加密安全產(chǎn)品分析[J].設(shè)備管理與維修，2015.

[8]侯瑜.圖像隱寫(xiě)分析[D].北京交通大學(xué)，2015.

[9]孫冉，王讓定，嚴(yán)迪群，金超.一種以VBR MP3音頻為載體的隱寫(xiě)方法[J].無(wú)線電通信技術(shù)，2015.

[10]張艷玲，王允鋒.混沌序列增強(qiáng)LSB圖像隱藏算法的魯棒性分析[J].西安工業(yè)大學(xué)學(xué)報(bào)，2015.