saber que programa de esteganografia ha modificado un archivo

Iniciado por Follow the White Rabbit, 8 Mayo 2018, 07:51 AM

0 Miembros y 1 Visitante están viendo este tema.

Follow the White Rabbit

hola, se que la pregunta es muy amplia pero vamos a lo especifico.

En el reto forense
https://www.evernote.com/shard/s259/sh/ac7c2f60-b4f4-48fb-8e60-0351486a84e5/ae407380ca9978ab/res/bfc84bc4-6fb8-489e-aacd-5453e4791ecb/INFORME%20CASO%20JACOBS.pdf

se encuentran 3 archivos, uno de ellos es una imagen y en el hex se ve la contraseña para descomprimir otro archivo en texto plano. Mi curiosidad es la siguiente:

-¿se utilizó una herramienta esteganografica o simplemente fue y escribio la contraseña con un editor hexadecimal?

-De haberse utilizado una herramienta esteganografica ¿puede saberse que herramienta de esteganografía se pudo haber utilizado?

Aca esta el hexadecimal de la imagen:

00003ca0: a28a 0028 a28a 0028 a28a 0028 a28a 0028  ...(...(...(...(
00003cb0: a28a 0028 a28a 0028 a28a 0028 a28a 0028  ...(...(...(...(
00003cc0: a28a 0028 a28a 0028 a28a 0028 a28a 0028  ...(...(...(...(
00003cd0: a28a 0028 a28a 0028 a28a 0028 a28a 00ff  ...(...(...(....
00003ce0: d900 0000 0000 0000 0000 0000 0000 0000  ................
00003cf0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d00: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d10: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d20: 7077 3d67 6f6f 6474 696d 6573 0000 0000  pw=goodtimes....
00003d30: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d40: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d50: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d60: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d70: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d80: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003d90: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003da0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003db0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003dc0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003dd0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003de0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00003df0: 0000 0000 0000 0000 0000 0000 0000 0000  ................


¿Esto ...(...(...(...(  es alguna huella que deja una herramienta de esteganografía? o ¿es normal que las imagenes vengan así'?

pd: pongo solo el final del archivo porque por alguna razon no deja publicar el post, creo que es muy largo :p

MCKSys Argentina

Hola!

Si los bytes modificados son los que corresponden a los píxeles de la imagen, no hay problema en cambiar algunos. Por lo que se vé, los bytes 00 representarían (en gral.) al color negro por lo que cambiar 12 píxeles (como se muestra) no haría mucha diferencia visual.

Por supuesto, para hacer la modificación, se debe saber dónde se ubica la info de dichos píxeles, pues se corre el riesgo de pisar alguna struct o info de descompresión, lo cual invalidaría la imagen.

Con un editor hexa es posible hacerlo. Con 010 Editor, que te permite aplicar plantillas para parsear el archivo, mejor.

Tengo entendido que las tooles estenográficas distribuyen la info a guardar en toda la imagen. Aunque no soy especialista en el tema...

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


apuromafo CLS

en general cuando usas alguna herramienta como steghide, te das cuenta que hay muchas opciones, de seguro que si vas a cualquier ctf (atenea o el que sea) que tenga stenografía, de seguro encuentras que lo hacen modificando cabezeras, agregando informacion despues del archivo entre otros. aveces va con el tema de las capas , la capa principal es la informacion que vemos, las otras capas (ya sea un thubnail o el que sea, se encarga de colocar la información oculta)

hay muchisimas herramientas de estenografía, y muchos editores hexadecimales, saber quien lo ha hecho es imposible a primera vista.

Saludos Apuromafo
pd: evernote es como un editor de texto, es copiar/pegar contenidos, aveces colocar una palabra con color transparente al texto que se ve...

Follow the White Rabbit

gracias a ambos por sus respuestas.

A mi me parece que lo hizo simplemente con un editor hex.

Sinembargo apelaba a su conocimiento, si depronto por experiencia  conocen algunas huellas comunes o modificaciones comunes de X o Y herramienta de esteganografía. Ya que eso creo que se conoce por experiencia de uso, y en el uso de esteganografia no soy muy versado.

trato de hacer un simil como cuando alguien trata de irrumpir en una red o en una web, que al no saber lo que hacen sino lanzar exploits a lo loco dejan demasiadas huellas y se puede saber que herramienta han utilizado. Claro que como lo han señalado en el caso de la esteganografia el abanico de opciones puede ser gigantesco de una o muchas herramientas, lo que hace que sea demasiado improbable saber la herramienta.

Nuevamente gracias.

Saludos y happy hacking!!!!