« Pido ayuda para creacion de logo de neobits.org
Solucion reto esteganografico F200 de CTF DEFCON 2010 »

GNU/Linux, Gzip Esteganografia en Ficheros Gzip (gz)

Junio 19th, 2010 by hecky

Bien en esta ocasion hablare sobre esteganografia basica en los ficheros de compresion gzip.

Estuve viendo un poco la estructura del fichero en base al RFC1952 del formato GZIP y vi que si en el byte 4 que se refiere a las FLAGS, esta activado el bit 3 activa la bandera del nombre FNAME. Osea que en el byte 4 deberia haber por ejemplo un 0×08 para que este activado, despues de esto, vendra el MTIME 4 bytes(Tiempo de creacion), luego el XFL 1 byte (Banderas extras), y luego el OS 1 byte (Sistema operativo, ejemplo UNIX 0×03) , luego vendra el NOMBRE DEL ARCHIVO, y despues un byte nulo 0×00.

Con esta pequeña introducción veremos lo facil que es ocultar un fichero en gzip. En esta ocasion no dejo Un tutorial, sino que nos iniciamos con VideoTutoriales. El videotuto es hecho en Ubuntu, con el programa recordmydesktop.

Les dejo el video y si surje alguna duda favor de plantearla.

Esteganografia Basica en Ficheros Gzip from hecky on Vimeo.

Por cierto el fichero de texto que uso en el ejemplo es mi resumen del fichero gzip, en ese resumen me base para hacer pruebas y ver si encontraba algo en el formato que permitiera hacer la estegano…Si ah alguien le interesa aqui lo dejo.

Estructura Formato gzip
Firma Formato:
2 bytes >> 1F8B
Metodo de compresion: 1 byte (compresion predeterminada DEFLATE 0x08)
Flags: 1 byte (se valua por bits)
 bit0 FTEXT >> posible archivo de texto
 bi1 FHCRC  >> CRC16
 bit2 FEXTRA >> extra
 bit3 FNAME  >> nombre original seguido de un byte nulo
 bit4 FCOMMENT >> comentario
 bit5 reserved
 bit6 reserved
 bit7 reserved
MTIME: 4 bytes (Tiempo de ultima modificacion)
XFL: 1 byte extra flags
OS: 1 byte (sistema operativo  0-FAT 3-UNIX 6-HPFS 7-Macintosh 11-NTFS 255-desconocido)
NOMBRE DEL ARCHIVO: En seguida del OS viene el nombre de archivo si en el 4 byte esta activado el bit 4 (ej: 00001000 >> 0x08)
BYTE NULO: despues del nombre del archivo...

Saludos ;)

Att. hecky para estegano.neobits.org


Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

3 Respuestas a “Esteganografia en Ficheros Gzip (gz)”

  1. kagure dice:
    Junio 20th, 2010 at 23:01

    Como siempre muy bueno e informativo.
    Gracias

  2. servant dice:
    Junio 21st, 2010 at 12:17

    Muy bueno, gracias (y)

  3. hecky dice:
    Junio 21st, 2010 at 20:33

    Gracias por sus comentarios. Esperamos seguir trabajando

    Saludos ;)

Dejar un comentario...gracias