数据隐藏及其获取方法研究

在计算机取证工作中,除了显见的数据内容的收集之外,还有一些地方可能存在着被隐藏起来的数据,获取这些隐藏的数据并将其拼接起来会揭示惊人的案件事实,为司法诉讼提供重要的证据。该文总结了当前比较流行的文件隐藏与获取的方法,首先分析了利用磁盘底层、流文件、操作系统、专用工具实现数据隐藏的方法,然后有针对性地提出了隐藏数据的获取方法,最后总结了当前被法证认可的综合取证工具在获取隐藏数据中的应用。     

基于远程控制技术的动态取证系统

设计了一种新的基于远程控制技术的计算机取证系统,提供了3种不同取证方法动态获取控制目标的电子证据,研究了文件隐藏、进程隐藏、注册表修改隐藏、端口反弹、数据加密等关键技术。实验表明,该系统能动态获取网上不同监控对象的电子证据,是当前取证技术的一种新思路。     

基于线性调频信号的多频测距算法

设计了一种新的基于远程控制技术的计算机取证系统,提供了3种不同取证方法动态获取控制目标的电子证据,研究了文件隐藏、进程隐藏、注册表修改隐藏、端口反弹、数据加密等关键技术.实验表明,该系统能动态获取网上不同监控对象的电子证据,是当前取证技术的一种新思路.     

Microsoft复合文档结构电子数据取证分析

针对特定类型文件结构进行分析,进而发现隐藏其中的证据与线索是电子数据取证采用的重要方法之一。作为Windows操作系统中最重要的文件类型,Microsoft复合文档拥有独特而复杂的文件格式。文章在详细描述Microsoft复合文档头文件及目录入口基本结构的基础上,着重针对与电子数据取证密切相关的项目予以分析,并通过实例说明利用该类型文档结构进行电子数据取证的具体流程与方法。     

基于信息隐藏技术的木马植入方法

针对互联网木马存在易被溯源追踪的问题,提出一种基于多媒体文件的新型木马方案,利用信息隐藏算法将木马程序作为秘密数据嵌入到载体图像中。渗透成功后,对盗取的数据在本地进行加密之后同样隐写到载体图像并上传至社交网络,攻击端通过开放的社交网络下载并提取秘密数据。实验显示,所设计的JPEG图像信息隐藏算法性能良好,基于该隐藏算法的木马渗透方案在隐蔽性、抗取证、防追踪以及穿透审计等特点上优于已有的图片木马。社交网络中此类木马可造成用户隐私泄露,所以最后给出了一些防范措施。     

数据隐藏与数字取证

提出了一种基于空间域的相关性数据隐藏算法，并利用相关性原理能够在不参考原始载体的情况下对数字图像进行内容认证和密文提取，通过提取数字图像中的嵌入数据，为司法机关提供证据，实现数字取证。多媒体信息的数据隐藏技术，是实现数字取证的一种行之有效的方法，通过把与位置相关的GPS信息隐藏到多媒体信息中，为以后版权保护和计算机取证提供了有力的手段。     

利用字符的冗余编码携带隐藏信息的文本数字水印技术

提供了一种以符号的冗余编码保留隐藏信息的隐藏数据通信技术,以及与该方法相关的数字水印嵌入、提取技术和载体文件的显示技术.介绍了将符号编码成数字代码的若干方法;隐藏通信的数据加载与分离方法;特定字体文件的设计方法;若干对携带水印信息的载体文件进行显示的方法.提出的文本数字水印技术具有水印容量大、视觉影响小、兼容性强等特点.     

基于闪存冗余块的文件隐藏技术

为保护闪存型存储设备上的敏感文件,提出基于闪存冗余块的文件隐藏方法.该方法在分析Nand型flash特点及FAT32文件系统管理机制的基础上,将闪存中冗余的物理块有机组合以存储敏感文件,并采用与文为保护闪存型存储设备上的敏感文件,提出基于闪存冗余块的文件隐藏方法.该方法在分析Nand型flash特点及FAT32文件系统管理机制的基础上,将闪存中冗余的物理块有机组合以存储敏感文件,并采用与文件隐藏相似的方法恢复原始文件.实验结果表明,基于闪存冗余块的文件隐藏方法不占用闪存有效空间,具有隐蔽性高、鲁棒性强且隐藏容量大的特点,能有效抵抗软件取证攻击.     

一种带有密钥的.EXE文件隐秘传输方法

为解决电子商务中各种文件的隐秘传输问题,在分析可执行文件特点的基础上,结合空域信息隐藏原理,设计实现了一种带有密钥的.EXE文件隐密传输方法.该方法在密钥的作用下,将.EXE文件的比特流,隐藏在载体图像较低的3个比特位上.方法已采用Matlab编程实现,实验表明采用该方法进行可执行文件隐藏时,嵌入前后图像的PSNR大于30dB,人类的视觉根本无法区分.而且恢复的可执行文件同正常文件一样,其运行未受任何影响.算法的隐藏效果较好,可以满足文件的隐秘传输需要.     

计算取证中的异常文件发现

在计算机取证中，寻找证据的过程是最耗费时间的一个阶段，是计算机取证自动化的瓶颈。为了解决这一问题，提出了一种取证目标自动确定的新方法，通过孤立文件检测法找出安全事件中产生的异常文件。实验结果表明，这种方法能快速找出系统中隐藏的异常文件，加快证据搜索的速度，进而提高整个计算机取证工作效率。     

一种新的基于PDF文档结构的信息隐藏算法

通过分析格式化文件PDF(Portable Document Format)文档的数据结构，提出了一种新的基于PDF文档结构的大容量信息隐藏算法。将秘密信息预处理后伪装成合法PDF对象的形式，以文件流的操作方式嵌入到载体文件中，并满足嵌入的信息不影响文件在阅读器、编辑器与打印机中的输出。实验实现了线性化PDF文档的信息隐藏与检测。理论分析与实验结果均表明，该算法具有较大的信息隐藏容量、很快的隐藏与检测速度及依赖于加密算法和密钥的安全性。     

基于Word和PPT文档图像的信息隐藏

研究Word和PowerPoint文档中图像对象数据的保存机制和获取其完整图像数据的方法,以文档中图像对象作为秘密信息的直接载体,以Word和PowerPoint文档作为二次掩饰体,提出一种基于LSB的图像信息隐藏算法。实验结果表明,与单纯文档文字和数字图像作为信息隐藏载体的算法相比,该算法的隐藏信息量大,隐蔽性和抗干扰性强。     

A high-capacity performance-preserving blind technique for reversible information hiding via MIDI files using delta times

A new high-capacity information hiding method for embedding secret messages into MIDI files is proposed. The method can preserve the original musical performance of the cover MIDI file. The property of the variable-length quantity, which expresses the magnitude of the delta time before every event in a MIDI file, is utilized for secret bit embedding. The embedding is accomplished by padding the delta times with different numbers of leading constant bytes of 80₁₆ to represent the secret bits. The method is both reversible and blind because the original cover MIDI file can be restored completely from the stego-MIDI file by extracting the embedded data out from the resulting stego-MIDI file without referencing the original cover MIDI file. A capability of hiding a large amount of secret information is achieved since the delta time is a basic parameter that appears before every event in the MIDI file. Good experimental results yielded by the proposed method as well as a comparison of the method with five existing performance-preserving methods from the viewpoints of stego-file quality, payload capacity, and data security show the superiority and feasibility of the proposed method.

     

基于信息隐藏技术的PE病毒防治

提出一种基于信息隐藏技术的方法来防范和对付PE病毒.该方法利用PE文件结构和PE病毒只侵袭可执行文件而不攻击数据文件的特性,将可执行文件头隐藏于数据文件之中,达到保护可执行文件的目的.实验验证了该方法的可行性.分析了该方法的长处和不足,与其它防病毒方法相比,该方法具有很好的信息隐藏量,能防范已知的可执行文件类计算机病毒,也能防范未知的和未来的该类计算机病毒.     

结合容量伪装和双文件系统的文件隐藏方法

针对现有基于通用串行总线(USB)移动存储设备的文件隐藏方法存在的鲁棒性差及隐藏强度低的问题,提出一种结合容量伪装和双文件系统的文件隐藏方法。在分析Nand flash芯片的特点及其管理机制的基础上,该方法通过篡改命令状态包(CSW)中的设备容量值,实现容量伪装,达到欺骗主机的目的;利用闪存转换层(FTL)存储管理机制,通过在物理块冗余区标记不同的内容把物理块分成两部分,划分隐藏区和普通区,利用格式化功能建立双文件系统;用户通过写特定数据发送切换文件系统请求,设备进行用户认证后完成文件系统切换,实现隐藏区的安全访问。理论分析和实验结果表明,该方法实现了对操作系统透明的文件隐藏;相对于挂接应用程序编程接口(API)、基于文件分配表(FAT)的修改以及加密等实现的文件隐藏方法,该方法不受系统对设备操作的影响,具有更好的鲁棒性和更高的隐藏强度。     

Designing a cluster-based covert channel to evade disk investigation and forensics

Data confidentiality on a computer can be achieved using encryption. However, encryption is ineffective under a forensic investigation mainly because the presence of encrypted data on a disk can be easily detected and disk owners can subsequently be forced (by law or other means) to release decryption keys. To evade forensic investigation, intelligent information hiding techniques that support plausible deniability have been proposed as an alternative to encryption; plausible deniability allows an evader to hide data in a manner such that he/she can deny the very existence of the data.In this paper, we present a new, plausible deniability approach to store sensitive information on a cluster-based filesystem. Under the proposed approach, a covert channel is used to encode the sensitive information by modifying the fragmentation patterns in the cluster distribution of an existing file. As opposed to existing schemes, the proposed covert channel does not require storage of any additional information on the filesystem. Moreover, the channel provides two-fold plausible deniability so that an investigator without the key cannot prove the presence of hidden information.We derive the theoretical capacity of the covert channel and show that a capacity of up to 24 bits/cluster can be achieved on a half-empty disk. The proposed data hiding and recovery algorithms are implemented on FAT32 based disk drives and we show that the disk (read/write) access time of the algorithms is quite low as compared to the contemporary approaches. We also present statistics about the incidence of file fragmentation on actual file systems from 52 disk drives belonging to a diverse set of users. Based on these statistics, we present guidelines for selecting good cover files. Finally, we show that even if an investigator gets suspicious, he/she will incur an unreasonably high O(m²) complexity to reveal an m bit hidden message.     

基于BMP位图的LSB信息隐藏算法的实现

在介绍BMP（Bitmap）图像文件格式的基础上,以24位BMP位图作为信息的载体,基于VC＋＋6．0开发平台,利用位运算和二进制文件操作功能,实现了在空域的LSB（Least Significant Bits,最低有效位）上对数据信息的隐藏和提取。     

基于磁盘冗余空间的数据隐藏

为保护计算机磁盘上的敏感数据, 提出基于磁盘冗余空间的数据隐藏方法。该方法在分析磁盘分区策略和簇式文件系统的文件管理机制的基础上, 将分散的文件簇冗余空间有机组合以存储敏感数据, 并利用存储于分区策略冗余空间的数据结构来维护恢复原始数据所需数据。实验结果表明, 基于磁盘冗余空间的数据隐藏方法不占用文件系统有效空间, 具有隐蔽性高、系统开销小、隐藏容量与文件系统内部文件总量正相关, 以及抗干扰性易受到宿主文件稳定性影响等特点。此外, 当文件总量较大时, 隐藏容量将十分可观, 而通过选取稳定性强的文件作为宿主文件, 可提高该方法的抗干扰性。     

Reversible data hiding based compressible privacy preserving system for color image

In digital era, privacy preservation and data size reduction are important issues and many applications handle them simultaneously. In this paper, authors introduce a novel application of reversible data hiding to protect privacy sensitive region in a color image while reducing its file size. The proposed work introduces entropy as a new performance criterion along with distortion, capacity for reversible data hiding. Evaluation metric of the proposed method is a file size of watermarked and losslessly compressed image. The proposed method preserves privacy and controls rise in image entropy by reversible data hiding.