Esteganografia

ANTES QUE NADA: Quiero OFRECER una DISCULPA a todos los lectores…Especialmente a los que hayan revisado mi blog hace 2 dias…puesto que puse un post extremadamente personal. Y tambien agradecer y disculparme personalmente con (hdstryOwrld,Kagure,Servant,Sinfocol y Urban77). Sin mas, PERDON y tratare de retomar la tematica del Blog.

Bueno ahora si a lo que vamos. Hace un dia mi amigo danielhb8705 me mandó un correo pidiendome de favor que le explicara si sabia un metodo de como preservar los ADS, ya que al ponerle un flujo a un archivo desde el disco C:(la particion C: por defecto esta en NTFS) lo puede hacer perfectamente, pero que al enviarlo a su memoria USB, se pierde el fujo. Bueno eso es normal, puesto que las memorias usb, normalmente estan formateadas en un sistema FAT y no NTFS.

La solución mas factible, comoda, facil y rapida que se me ocurrio, fue la de usar nuestro gran amigo…EL compresor WINRAR…

La cosa va asi:

1.-Meter un ADS a un archivo portador, como ya se ah explicado en tutoriales anteriores

2.-Despues de tener ya tu archivo con la informacion oculta, usaremos winrar y lo comprimiremos en .rar

3.-En el menú de Winrar al comprimirlo, nos iremos a la pestaña que dice “ADVANCED”

4.-Ya ahi veremos Que dice “NTFS OPTIONS” y ahi marcaremos las dos casillas “SAVE FILE SECURITY“ y “SAVE FILE STREAMS”

5.-LISTO!! Con eso lo que hacemos, es que al comprimirlo se “guardan” los flujos NTFS en la compresion. Ahora podemos llevar nuestros archivos con ADS a donde queramos, ya sea que las enviemos por internet, o las guardemos en nuestra USB. Y simplemente al extraer los archivos, estos contendran los flujos.

NOTA: Si por ejemplo hemos guardado nuestro ADS en el .rar y al descomprimirlo lo descomprimimos en nuestro exit disco C: (NTFS) todo estara bien. Sin emabrgo si lo guardamos, y lo descomprimimos en otro tipo de sistema como (FAT (USB) o ext (GNU/LINUX)), el flujo se perdera. AL DESCOMPRIMIRLO, LO DEBEMOS HACER SOBRE UN SITEMA NTFS (Esto no lo eh comprobado, pero me parece Obvio.)

Saludos, y pronto estare escribiendo mas…Espero seguir con la tematica, si no tanto estegoanalista, si de INFORMATICA…

Att. hecky para estegano.neobits.org

Ok ya vimos como podemos usar el Alternate Data Stream para ocultar texto en cualquier cosa. Ahora veremos algo mas interesante, no solo ocultar texto sino otras cosas como una imagen. Asi que sigamos con la entrega numero dos de el tutorial de esteganografia ADS.

Para ocultar CUALQUIER otra cosa en un portador, es el mismo comando que vimos en la parte numero 1 de ADS, LO UNICO que cambia son los tipos de archivos. (pero eso ya queda a nuestro gusto).

En este ejemplo ocultare una imagen.JPG dentro de OTRA imagenPORTADOR.PNG, y seria con el siguiente comando:

Type imagenaOCULTAR.JPG>imagenPORTADOR.PNG:passADS

En este caso estamos copiando/AGREGANDO (type) la imagen a ocultar dentro de (>) la imagen portador y le aplicamos el ADS que queramos (:passADS)

Ahora para ver eso NO basta con hacer un:

More <imagenPORTADOR.PNG:passADS

Por que eso lo unico que nos mostrara sera en consola los bytes imprimidos en ASCII…eso solo nos serviria en todo caso para ver la cabecera del archivo que esta oculto.  Como en este caso, no nos muestra la imagen (NO PUEDE MOSTRARLA), solo nos muestra los caracteres imprimibles de los bytes en ASCII. Sin embargo en este caso no vemos ni la cabecera, pero vemos que dice JFIF y eso es caracteristico de los JPG

Para hacerlo mas funcional no solo basta imprimirlos, hay que darles salida y uno podria pensar entonces en hacer esto:

More <imagenPORTADOR.PNG:passADS > salida.jpg

Y eso nos daria un archivo de cabecera de un JPG pero al abrirlo con nuestro mejor visor (infraview) dice que esta dañado….

F.U.C.K!!!

Y ahora???

Pues el comando MORE daña los bytes(Gracias a la explicacion de HaDeS, se esto del comando more.), ese comando no nos asegura integridad, asi que habra que pensar en otro modo de obtener el archivo….

¿Que les parece programando un sencillo codigo en PHP?

GENIAL!!!

<?php
$file=file_get_contents('imagenPORTADOR.PNG:passADS');
echo $file;
?>

Asi queda nuestro SUPER codigo, y lo aplicamos desde consola.

php.exe -f codigo.php > salidaADS2.jpg

Y ahora si ya salio nuestro archivo. Y si lo abrimos, sale integro. Y no dañado como con el comando “more”

Hecky..Pero no quiero programar, me da “harterilla” hacer eso…no hay otra manera??? NO SEA FLOJO y programelo. xD…

Claro hay otras opciones:

.-Puede programarlo en cualquier otro lenguaje

.-Firefox nos permite hacer eso: Solo debemos abrir la imagen con Firefox y agregarle el ADS y Voila!!

AGREGANDO EL ADS en Firefox

.-Oh que tal con Mspaint??

**Las ultimas dos tecnicas las aprendi gracias a algunos users de “wow.sinfocol.org”

Bueno eso es todo por ahora. Ya saben para obtener los ADS en una particion NTFS. LADS.exe es una gran opción ya que nos los lista.

NOTA: Por si alguien no se habia dado cuenta, los ADS no se pueden transmitir, osea. Si yo oculto por medio de ADS, y se lo envio ah alguien por algun medio, usando  protocolos (SMTP,POP3,HTTP,FTP,etc.) los ADS se pierden. ¿Por qué? Por que como habia dicho los ADS se dan en PARTICIONES NTFS

¿Hay manera de salvaguardar los ADS?

Claro yo conozco dos maneras. 1) Poniendo el archivo en un backup (.bk) y la otra es con Winrar, el nos da las opciones ;)….De Estas  dos maneras es posible, debido a que estas herramientas permiten grabar las propiedades NTFS, y se guarda el ADS

Si no me creen, pruebenlo. Aqui les dejo la imagen que fue usada en este tuto. Intenten extrar la imagen oculta y veran que no podran jeje xD:

Y ahora intentenlo desde este archivo y si podran por que guarde las propiedades con Winrar

DESCARGAR ARCHIVO

Ahora si es todo….espero les agradara esta segunda entrega

Saludos

Att. hecky para estegano.neobits.org

Ocultar un mensaje simple de texto en otro por Alternate Data Streams (ADS)

Bueno ahora veremos algo mas emocionante de Esteganografia…Este manual lo dividiré en dos partes…la parte 1 donde veremos el ADS básicamente y la parte 2 donde profundizaremos mas…

Vamos a usar esta “falla” de ADS en las particiones NTFS. Lo único que necesitaremos es la Consola de Windows.

Empecemos

Lo primero que haré sera una carpeta que le pondré de nombre “polikala” (para los que saben griego xD) y ahí haré todo.

Ahora haré dos archivos de texto: uno dirá… “HOLA ESTEGOANALISTAS!!!!!” y lo guardare como “hola.txt” y el otro dira “ESTE ES UN MENSAJE OCULTO POR ADS” y lo guardare como “oculto.txt”

Ahora abro la consola y me ubicare en la carpeta “polikala” y ocultare los ficheros, con los comandos:

Type oculto.txt>hola.txt:hide

Eso lo que hace es ocultar “oculto.txt” dentro(>) de “hola.txt” y usa como un tipo de contraseña “hide“, yo puedo en vez de poner hide cualquier otra cosa como: contraseña,pass,hola,to hecky agapao ho esteganografia(Fonema griego xD),etc…en si lo que quieran.

Y eso es todo, con eso ya ocultamos por ADS en una partición NTFS.Ahora borrare “oculto.txt” y abrire con un editor hexadecimal “hola.txt” y como podrán ver no cambio nada, solo se ve el “HOLA ESTEGOANALISTAS!!!!!” y nada mas. Pero ahora veamos como veríamos lo oculto.

En consola usaremos el comando “more” que nos mostrara el contenido en texto plano..así que pongo:

more hola.txt

Y veremos que sale “HOLA ESTEGOANALISTAS!!!!!”

Ahora usaremos el comando more diferente:

more <hola.txt:hide

y vemos que sale “ESTE ES UN MENSAJE OCULTO POR ADS”

Como vemos ahora usamos more con ayuda de “<” y con la contraseña “:hide” si yo no la pusiera o la pusiera mal, no saldria el mensaje..y eh ahí lo bueno

Estegoanalisis

Ahora como saber si hay ADS oculto?? Lo anterior lo hicimos por que sabíamos la “clave”, pero que hacer si desconocemos dicha clave???

Bueno aquí entrara un pequeño pero muy útil programa llamado LADS.exe este programa lo que hace es listarnos los ads y ponernos las “claves” y lo demás es pan comido.

Veamos un ejemplo , aquí yo oculte otra cosa con otra clave: usare LADS.EXE para que vean como funciona.

Solo lo ejecuto desde consola en la carpeta donde quiero averiguar si hay algo oculto y LADS me lista los ADS. Como vemos aqui me muestra 1 ADS en el archivo 2pac.txt y con la clave: “LABANDACCHSUR”

Ya solo lo ejecuto como lo vimos con more y VOILA!!! ya descubrimos algo oculto :D.

Bueno eso es todo en la siguiente parte ocultaremos otro tipo de ficheros y veremos como sacarlos con algo de PHP básico.

Espero les haya agradado y espero sus dudas o comentarios

Saludos

Att. Por hecky para Neobits.org