Esteganografia

Hace tiempo publique sobre como hacer esteganografia en ZIP’s pero dije que no diria como resolverlo, que eso era muy facil y por “Instinto g33k :P”. Sin embargo olvide que el blog esta enfocado a “principiantes” y que hubo personas que no pudieron realizar el estegoanalisis. Por esa razon y por un correo que recibí de alguien preguntandome sobre estegoanalisis en ZIP’s decido poner este post de estegoanalisis en Zips.

Ok ya que vimos como se oculta el archivo en el ZIP como en el primer tutorial…Ahora veremos como “Encontrar” y “Evidenciar” si existe algo oculto…

Para esto Trabajare sobre un ZIP llamado “Estegoanalisis.zip” que tiene Dos ficheros:

1)Un archivo de texto llamado Forense.txt
2)Un archivo oculto :S ^^

Ahora Abriremos nuestro ZIP con nuestro editor hexadecimal favorito(En mi caso Winhex), ahora como habia mencionado antes, los zips tienen esa facilidad o “Vulnerabilidad” que a diferencia de los “rar”, los “zips” muestran en texto claro los nombres de los archivos que tiene comprimidos…

Entonces de ahi nos vamos a agarrar para hacer esto.

Lo primero sera que busquemos a “ojo de buen cubetero” si encontramos en claro algo con sentido…Osea el nombre de un archivo que pueda tener dentro el ZIP…

En mi caso empiezo a buscar y no encontre nada raro…(Eso es por que YO estoy muy ciego)…Entonces vayamos al grano…Al final de todo zip, aparece el nombre del archivo seguido de un “PK”…

En este caso sabemos que hay dos archivos(lo sabemos por que se los dije :P). Debe haber dos nombres de archivos seguidos de dos PK (obviamente separados). Si nos vamos hasta el final y buscamos, encontramos:

Un PK sin nada antes :S (Pero vemos muchos ceros a nivel de bytes antes del PK).

Despues más abajo encontramos que dice “Forense.txtPK“…

Entonces inmediatemente sospechamos de que si hay algo en el primer PK donde hay muchos puntos y luego PK (…….PK) Ahi hace falta el nombre del fichero…

Ya vimos que si hay algo(comprobamos que hay informacion oculta). Ahora nos toca Obtenerla ^^

Para ello hay dos formas de hacerlo(al menos que yo conozco)…

1.-Para esta haremos uso de “WINRAR”. Usaremos una opcion que Winrar nos da por defecto que es la de “REPARAR“. Asi que seleccionamos la opcion de reparar y…Adivinen que?? En el archivo reconstruido/reparado ya nos sale el archivo que estaba Oculto ^^ Asi de facil….8)

2.-Si lo queremos hacer de otra manera mas técnica solo tenemos que rellenar con algo esos “Ceros”…El relleno puede ser cualquier cosa…PERO hay una condicion…El relleno debe ser exactamente de la Longitud del nombre del fichero…¿Pero nosotros no conocemos el nombre del fichero? CIERTO!!! NO LO CONOCEMOS!!! es por ello que aqui hay que estar probando…

EJ:

El archivo oculto se llama hecky2.jpg que esta conformado por 10 caracteres(contando el punto y la extención). Entonces yo debo rellenar 10 lugares antes del PK…Lo puedo rellenar con lo que sea en este caso lo hare con puras “a” quedando (aaaaaaaaaaPK) >> como se dan cuenta, no importa que no sea el mismo nombre o que no ponga el punto ni nada…Simplemente hay que rellenar los 10 lugares exactos…

EJ2:

Si yo relleno nada mas 9 lugares, el archivo SEGUIRA OCULTO…deben ser exactamente la cantidad de lugares….

EJ3:

Incluso puedo rellenar los 10 lugares dandole de valor a los bytes (01 en vez de 00) y con eso respetando la longitud, saldra el archivo Y vean que no importa lo que tenga el nombre, lo que importa es rellenar con algun byte !=0

Espero se haya comprendido como funciona el estegoanalisis de esta manera…

Incluso mas facil para saber el nombre de los archivos ocultos solo hay que buscar en todo el fichero la palabra “PK” y con eso, seguro que vemos los nombres de los archivos, cerca de los PK….

P.D. Les dejo el fichero ZIP AQUI con lo oculto, por si quieren hacer sus pruebas…

SALUDOS

Att. hecky para estegano.neobits.org

Ya saben cualquier cosa me pueden preguntar en: www.formspring.me/hecky

O seguirme en twitter www.twitter.com/hecky2pac