CTF—图片隐写相关

`0 前言`

CTF中，有一类题和图片相关，各种转换，这里记一些图片的玩法

`1 jpg图片属性`

正常的jpg图片，选中右键查看属性，在详细信息一栏会发现有很多属性可以修改，简单的题目可以在这里隐藏信息

`2 图种`

图种就是图片后面再放点信息进去，压缩包、txt文档、或者再来一张图片，要隐藏的信息完全没有限制，cmd举例如下：

:: /b表示二进制方式
copy a.jpg/b+b.zip/b c.jpg
copy a.jpg/b+b.txt/b c.jpg
copy a.jpg/b+b.jpg/b c.jpg

得到的c.jpg就是图种了

还原也比较简单，整理几种方法：

使用工具分离，比较好用的工具有binwalk和foremost，binwalk建议使用这样的命令: binwalk -eM <file_path>，foremost直接跟文件路径就好了，一般foremost效果要好一些，可以都试一下
在16进制编辑器打开然后手动分离，这种方式比较考验对文件格式的熟悉程度，需要对常见的文件类型开头结尾比较熟悉，16进制编辑器选择自己熟悉的就好，010Editor、WinHex、HxD都是比较成熟的软件，我会用rehex
针对压缩文件的技巧，如果隐藏的信息是zip之类的压缩文件，可以直接把文件用压缩软件打开，就能提取压缩包里的文件了

注：有些图片后隐藏图片的情况，可能会把第二张图片头给去掉，然后把两张图片合在一起，由于特征没了，提取工具就没用了，使用手动分离的方法：16进制编辑器打开，找第一张图片的尾部，然后把第二张图片的头给加一下，这样就正常了

`3 图层里的秘密 LSB`

LSB, Least Significant Bit, 最低有效位，指图片像素的低位数据，因为低位对图片显示影响不大，所以可以用来隐藏数据
stegsolve是一个比较有名的查看图片LSB隐写的工具，一般有2种使用方法：

把图片打开，点下面的箭头切换图层，可能会显示一些隐藏信息，如二维码图片
提取低位数据：Analyse->Data Extract，可以先勾选 Red Green Blue的0位，点击 Preview试试看，一般都藏在0,1,2这些低位里面，只能试着观察了

有一个隐藏，检测，恢复的网站：http://incoherency.co.uk/image-steganography/

`4 图片头损坏`

有些图片会被故意修改前几个字节，导致无法显示
还原很简单，找一个类型相同的文件，在16进制编辑器里照着改回来就能正常打开了
pdf或其它有很明显固定文件头的文件也可以这么做

`5 图片的高度`

用16进制编辑器更改png图片的高度，会只显示图片的上面一部分，下面的部分就被隐藏了，是个藏东西的好办法
找表示宽度和高度的位置的话，010Editor比较方便，也可以先看看图片的属性，得到宽高值，转成16进制，搜索16进制值就找到了
注：

png图片的保存恢复效果比较好，jpg貌似有点问题
试过改宽度，效果不好，高度很好掌握

`6 图片隐写工具`

图片隐写工具很多，慢慢补充，先写几个，以后再补

`oursecret`

这工具很强大，什么文件都能用来隐藏，完全没有限制
本来下载地址应该是: http://www.securekit.net/oursecret.htm, 但已经404了，随便搜一个在虚拟机里临时用一下吧

`Outguess`

支持3种用来隐藏信息的文件格式: PPM(Portable Pixel Map)、PNM(Portable Any Map)、jpg，需要密码
下载地址：https://github.com/resurrecting-open-source-projects/outguess
看着readme自己编译一下，使用方法如下：

# 隐藏
# hidden.txt是要隐藏的文件, demo.jpg是用来隐藏信息的图片, out.jpg是有隐藏信息的图片
outguess -k "my secret key" -d hidden.txt demo.jpg out.jpg
# 提取
outguess -k "my secret key" -r out.jpg hidden.txt

`steghide`

steghide可以在图片和音频文件中隐藏各种数据，windows和linux系统都支持
支持jpg、bmp，不支持png，密码可选

sourceforge和github地址：
http://steghide.sourceforge.net/
https://github.com/StefanoDeVuono/steghide

windows可以直接在sourceforge下载可执行文件
linux如果是debian系，可以使用apt安装: sudo apt install steghide

简单使用方法：

# 隐藏数据 To embed emb.txt in cvr.jpg
steghide embed -cf cvr.jpg -ef emb.txt
# 提取数据 To extract embedded data from stg.jpg
steghide extract -sf stg.jpg

`F5`

F5隐写是java编写的隐写工具，支持bmp、gif、jpg图像文件，需要密码
github地址: https://github.com/matthewgao/F5-steganography

简单使用方法：

# 隐藏数据 lopez.bmp是源图片，lopez.jpg是生成的图片，-c是注释，-e是要隐藏的文件，-p是密码
java Embed lopez.bmp lopez.jpg -c "comment hellowor.." -e hello.txt -p helloworld
# 提取数据
java Extract lopez.jpg -p helloworld

`stegdetect`

stegdetect 用于检测图片隐写方式

github的版本只能在linux下编译使用: https://github.com/abeluck/stegdetect

这里可以看到原始版本的介绍：
https://web.archive.org/web/20150415213536/http://www.outguess.org/detection.php

这里可以下载源码和windows版本：
https://web.archive.org/web/20150415220609/http://www.outguess.org/download.php
windows版本下载地址：https://web.archive.org/web/20150415220609/http://www.outguess.org/stegdetect-0.4.zip

2017/5/8