文件雕復(fù)中文件結(jié)構(gòu)分析和運用

李國強

摘要：文件雕復(fù)是從數(shù)字設(shè)備中恢復(fù)數(shù)據(jù)的最新技術(shù)，其不依賴文件系統(tǒng)中的任何信息[1-3]。文件雕復(fù)僅使用存儲在磁盤上的數(shù)據(jù)塊中可用的信息來恢復(fù)文件[4]。在圖片隱寫、CTF也有運用，國外還以此開發(fā)出文件雕復(fù)器，并取得了商業(yè)上的成功。廣泛應(yīng)用于執(zhí)法機構(gòu)和企業(yè)的各種取證調(diào)查中[5]，F(xiàn)BI曾經(jīng)成功將EnCase（Guidance Software）用于安然（Enron）和世通（WorldCom）的調(diào)查[6]。

關(guān)鍵詞：雕復(fù)；結(jié)構(gòu)；圖片隱寫

中圖分類號：TP311? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）35-0081-03

文件雕復(fù)是基于文件結(jié)構(gòu)恢復(fù)文件的最新技術(shù)，許多已知的文件都有都獨特的頭部和尾部結(jié)構(gòu)，以標(biāo)識文件的開始和結(jié)束[4]。通過對文件結(jié)構(gòu)分析，可以發(fā)現(xiàn)更多文件信息，其應(yīng)用也越來越廣泛，近年在圖片隱寫、CTF、圖像偽造檢測中都有運用，商業(yè)上也有成功應(yīng)用。FBI曾經(jīng)成功將EnCase（Guidance Software）用于安然（Enron）和世通（WorldCom）的調(diào)查[6]。本文通過文件結(jié)構(gòu)分析和運用來分析圖片隱寫。

1 隱寫術(shù)原理

隱寫術(shù)簡單地解釋為將一個信息源嵌入另一個信息源[4]。實質(zhì)上也是將秘密（需要隱藏的信息）嵌入到一種載體的過程，載體和隱藏方式是隱寫術(shù)嵌入和提取動作得以實現(xiàn)的關(guān)鍵元素。

對于載體，可以是圖片文件、壓縮文件、視頻文件、音頻文件等，只要是可以通過計算機讀寫和傳輸?shù)亩际强梢宰鳛檩d體的。

對于隱藏方式，可以利用的選項就很多，常見的隱寫方法如下：

1）基于文件結(jié)構(gòu)的隱寫。直接嵌入式隱寫，這種可以在不影響載體文件的使用的情況下實現(xiàn)文件隱藏。

2） 根據(jù)文件特性與冗余性分為：追加插入法和前置插入法，插入信息可分為：文本插入，文件插入；（追加插入法是最常用的，最簡單的一種方法，利用文件特性在文件末尾進(jìn)行附加數(shù)據(jù)；分離文件，一個照片文件里可能有兩張照片，組成結(jié)構(gòu)為文件頭數(shù)據(jù)塊文件尾文件頭數(shù)據(jù)塊文件尾，因為有一個文件尾，所以后一部分的沒有被識別出來，同樣的前置插入法因為共用一個文件頭，使用formost工具分離）。

對于CTF來說，常見的misc雜項——隱寫是基于文件類型來分的，不同的文件，隱寫方式不同，解題邏輯也就不一樣，比如說，基于圖片文件的隱寫，首先需要識別圖片的基本結(jié)構(gòu)。這里通過一個例子來說明：

以一個png文件01.png為例，用WinHex查看分析其中結(jié)構(gòu)。

標(biāo)準(zhǔn)的PNG文件結(jié)構(gòu)包括PNG文件標(biāo)識和PNG數(shù)據(jù)塊。這里以01.png分析png圖片文件結(jié)構(gòu)：

- （固定）8字節(jié)89 50 4E 47 0D 0A 1A 0A為png文件頭；

- （固定）4字節(jié)00 00 00 0D代表數(shù)據(jù)塊的長度為13；

- （固定）4字節(jié)49 48 44 52是文件頭數(shù)據(jù)塊的標(biāo)識（IDCH）；

- （可變）13位數(shù)據(jù)塊（IHDR）；前四個字節(jié)代表該圖片的寬：6D02；后四個字節(jié)代表該圖片的高 5C01；最后五個字節(jié)依次為：Bit depth（位深）、ColorType（顏色類型）、Compression method（壓縮方式）、Filter method（過濾方式）、Interlace method（分隔方式）。

剩余四字節(jié)為png的CRC檢驗碼，由IDCH到IHDR的十七位字節(jié)進(jìn)行CRC計算得到。PNG圖片文件頭數(shù)據(jù)塊（IHDR）包括：寬、高、圖像深度、顏色類型、壓縮方法等。

2 png文件結(jié)構(gòu)與基本隱寫行為

2.1 修改高度隱寫（基于圖片基本屬性隱寫）

先用TweakPNG打開圖片，一般修改過長寬的圖片都會報錯，用TweakPNG查看01.png原始信息，顯示未修改圖片的原始信息。然后找到PNG圖片高度值所對應(yīng)的位置，并修改為一個較大的值（27），嘗試打開，（發(fā)現(xiàn)此時圖片偏離了原來的位置）。

修改寬高之后的PNG圖片可能打不開，需要修復(fù)PNG圖片的CRC校驗值，我們發(fā)現(xiàn)，CRC Calculator自動計算出了新的校驗值。

方法1： 選中PNG的struct IHDR Ihdr部分，使用CRC Calculator重新計算CRC校驗值。將圖中CRC數(shù)據(jù)修改為重新計算過的CRC值（36 AB B5 8D）。

用TweakPNG再次打開圖片不報錯，修復(fù)成功。

2.2 IDAT塊的隱寫（基于圖片基本內(nèi)容）

IDAT定義：圖像數(shù)據(jù)塊IDAT（Image Data Chunk）：它存儲實際的數(shù)據(jù)，在數(shù)據(jù)流中可包含多個連續(xù)順序的圖像數(shù)據(jù)塊。IDAT存放著圖像真正的數(shù)據(jù)信息，因此，如果能夠了解IDAT的結(jié)構(gòu)，用戶就可以很方便地生成PNG圖像。一般IDAT常常用于校驗文件的完整性，因為文件有修改的話，用pngcheck就可以檢查出來。

在前面的塊中，數(shù)據(jù)塊都是滿填充，而最后面倒數(shù)兩個塊出現(xiàn)非連續(xù)填充。IDAT是連續(xù)儲存的圖像數(shù)據(jù)塊，正常情況下，數(shù)據(jù)塊結(jié)束前不會多出沒有填充滿的數(shù)據(jù)塊，如果出現(xiàn)了這種情況，說明圖片被篡改，具體見案例。

實際上，想要在實戰(zhàn)中利用IDAT隱寫非常困難，IDAT塊本身既確保了圖片本身的信息數(shù)據(jù)，也確保了其完整性。

2.3 LSB隱寫（基于替換隱藏）

圖片中的像素一般是由三種顏色組成，即三原色（紅綠藍(lán)），由這三種原色可以組成其他各種顏色，在png圖片的存儲中，每個顏色占有8bit，即有256種顏色，一共包含256的三次方顏色，即16777216種顏色。

LSB隱寫就是修改RGB顏色分量的最低二進(jìn)制位也就是最低有效位（LSB），LBS算法導(dǎo)致的更改，對人的眼睛是不可見的，每個像素可以攜帶3bit的信息。

在肉眼中看不出來，也就把信息隱藏了起來，顏色可能變淡，肉眼看不出來區(qū)別。

分析LSB隱寫，使用stegsolve工具。藏有二維碼，使用QR Reserach。利用LSB最低有效位（Least Significant Bit）來進(jìn)行隱寫。例如在PNG圖片的儲存中，每個顏色會有8bit，LSB隱寫就是修改了像素中的最低的1bit，人眼無法區(qū)別。例如想把A隱藏進(jìn)來的話，可以把A轉(zhuǎn)成16進(jìn)制的0x61再轉(zhuǎn)成二進(jìn)制的01100001，再修改為紅色通道的最低位為這些二進(jìn)制串。

分離方法：Stegsolve分離：使用Stegsolve—Analyse—Frame Browser，可以瀏覽三個顏色通道中的每一位。

3 案例

3.1 normal_png（修改高度）

1）本題是一個基本的簽到題[7]。

2）打開附件，打開后發(fā)現(xiàn)一張png圖片。

3）使用WinHex分析，貌似沒什么問題。

4）計算其校驗值 用CRC Calculator 計算4948445

20000026C0000036B0806000000，校驗值為FBE7C429。發(fā)現(xiàn)這個校驗值與原校驗值36B4F5FD對不上，使用tweakpng工具驗證，校驗值出現(xiàn)問題，可以使用tweakpng工具去查看詳細(xì)信息。

以上證據(jù)表明，圖片的寬高被修改，根據(jù)隱寫術(shù)的原理，更改寬高（IHDR），不會影響其他數(shù)據(jù)塊，所以，經(jīng)常會有人修改文件頭數(shù)據(jù)塊來控制圖片顯示的信息。

接下來，嘗試把圖片的寬度改大，但是修改寬度會導(dǎo)致圖像顯示混亂，一般而言，隱寫做手腳的參數(shù)是高度。先嘗試修改寬度026C為027B，看看修改后的結(jié)果是什么。

打開圖片查看，出現(xiàn)亂碼。

修改高度036B為03EE試一下，圖片打開成功。

3.2 misc_pic_again（LSB）

1）再看一個題目，下載附件，打開也是一張png圖片[7]。

2）用WinHex等工具進(jìn)行分析

用tweakpng打開時發(fā)現(xiàn)這張png圖片有一些問題，它不像正常png文件一樣有輔助數(shù)據(jù)塊，相反，它含有大量的IDAT數(shù)據(jù)塊，推測png圖片中隱藏其他的文件。

3）使用專門分析LSB隱寫（RGB隱寫）工具stegsolve打開圖片

使用analyse的data extract功能。

Bit planes對應(yīng)的是顏色通道，這里從0到7剛好8位，剛好每個色塊儲存8bit數(shù)據(jù)，通過屏蔽或選擇某一色道可以幫助更好地分析隱含的內(nèi)容，在這里，屏蔽了灰色通道，發(fā)現(xiàn)了PK，PK是zip的文件特征。

4）把找到的部分保存為1.zip文件。

5）打開文件1.zip，就發(fā)現(xiàn)文件1。

6）用WinHex查看文件1，看到了ELF特征。

ELF是可執(zhí)行與可鏈接格式，由四部分組成，分別是ELF頭（ELF header）、程序頭表（Program header table）、節(jié)（Section）和節(jié)頭表（Section header table），并且使用的編碼格式是ascii，在這里，可以直接搜索hctf字符串即可。

4 結(jié)束語

以上通過CTF賽題案例，運用數(shù)據(jù)雕復(fù)技術(shù)文件結(jié)構(gòu)研究來分析圖片隱寫術(shù)技術(shù)，識別隱藏有特殊信息的圖片文件內(nèi)容，該方法也可用作識別反向運用該技術(shù)改變原始文件數(shù)據(jù)的行為，比如數(shù)據(jù)隱寫、特殊信息傳遞等，將越來越多地出現(xiàn)于各種CTF賽題中，此外還可以專注于某些特定文件類型的詳細(xì)工作，研究如RAR文件[8]、PDF文件[9]，以及用于辦公類文檔，分析恢復(fù)難度較大的文件，同時引導(dǎo)更多其他相關(guān)聯(lián)應(yīng)用。

參考文獻(xiàn)：

[1] Lei Z.Forensic analysis of unallocated space[D].Master’s Thesis，University of Ontario Institute of Technology，2011.

[2] Beek C.Introduction to File Carving.McAfee White Paper[EB/OL].[2021-06-20].http：//www.macafee.com/ca/resources/white-papers/foundstone/wp-intro-to-file-carving.pdf.

[3] File carving -forensics wiki[EB/OL].[2021-06-20].http：//www.forensicswiki.org/wiki/File_Carving.

[4] 林曉東.電子數(shù)據(jù)取證[M].陳晶，郭勇健，譯.北京：機械工業(yè)出版社，2021.

[5] Guidance Software.Investigations of individuals[EB/OL].[2021-06-20].http：//www.guidancesoftware.com/computer-forensics-ediscovery-individual-investigation.htm.

[6] Lin X，Zhang C，Dule T.On Achieving Encrypted File Recovery[M]//Lai X，Gu D，Jin B，et al.Forensics in Telecommunications，Information，and Multimedia.e-Forensics 2010，Lecture Note of the Institute for Computer Sciences，Social Informatics and Telecommunications Engineering，vol 56.Springer，Berlin，Heidelberg，2010.

[7] CTF文件隱寫總結(jié)之圖片[EB/OL].[2021-06-20]. https：//juejin.cn/.

[8] Wei Y J，Zheng N，Xu M.An automatic carving method for RAR file based on content and structure[C]// Kiev，Ukraine：2010 Second International Conference on Information Technology and Computer Science.IEEE，2010：68-72.

[9] Chen M，Zheng N，Xu M，et al.Validation algorithms based on content characters and internal structure：the PDF file carving method[C]//Shanghai，China：2008 International Symposium on Information Science and Engineering. IEEE，2008：168-172.

【通聯(lián)編輯：謝媛媛】