Поиск скрытых данных в незаполненной области файла

Поиск скрытых данных в незаполненной области файла

DarkOn

Думаю все уже слышали о стеганографии — способе скрыть передачу данных, добавив их в легитимный файл либо записав эту информацию в память, занимаемую легитимным файлом (с текстом, музыкой или картинкой), без нарушения работоспособности последнего.

А если исходную информацию еще и зашифровать, то восстановить ее будет очень затруднительно.Но речь пойдет не о сокрытии информации в файле, а о том как эту самую информацию найти.

Поиск скрытых данных в незаполненной области файла

Для выполнения сегодняшнего форензик кейса нам понадобится утилита bmap-tools. В дистрибутиве предустановленной версии bmap не оказалось, поэтому придется поставить ее ручками.Первым делом открываем терминал в BackTrack и пишем следующие команды:

# cd /opt
# mkdir bmap
# cd bmap

После создания директории открываем любой браузер и по приведенной ссылке скачиваем архив с утилитой.

Сохраняем bmap-1.0.17.tar.gz на свою машину

Снова в терминал, где пишем следующее:

# cd /opt/bmap
# ls -l
# gunzip bmap-1.0.17.tar.gz
# tar -xovf bmap-1.0.17.tar
Результаты распаковки скачанного архива

Теперь наша утилита готова скомпилироваться в бинарный файл, для чего выполняем команды

# cd /opt/bmap/bmap-1.0.17
# make

Запуск bmap:

# ln -s /opt/bmap/bmap-1.0.17/bmap /sbin/bmap
# which bmap
# bmap -help
Запуск bmap в терминале

Переходим к созданию текстового файла, в который будем прятать наше «секретное сообщение»:

# cd /var/tmp
# echo "This is a test file" > test.txt
# cat test.txt
Создание исходного test.txt
# bmap --mode slack test.txt
# ls -l test.txt
Создаем «неразмеченную область внутри test.txt

Добавляем наше «секретное сообщение»:

# echo "Top Secret Data Goes Here" | bmap --mode putslack test.txt
# ls -l test
# cat test.txt
# strings test.txt
Добавляем наше «секретное сообщение» в test.txt

Обратите внимание: изменился только размер пространства, занимаемого данным файлом на диске, — внутри же самого файла ничего не изменилось.

Делаем бэк на терминал и проводим эксперимент:

# rm test.txt
# ls -l test.txt
# echo "This is a test file" > test.txt
# bmap --mode slack test.txt
# echo "Your Name"

Что в итоге? Наш файл был удален, но секретное сообщение осталось, поскольку при стирании были зачищены только сектора диска, занимаемые номинальным файлом. После того как мы вызвали команду

# bmap --mode slack test.txt

в терминале появилась строка нашего сообщения, скрытого в неразмеченной области.

Секретное сообщение выжило после удаления файла

На этом все. В этом форензик кейсе мы познакомились с утилитой bmap и узнали про поиск скрытых данных в незаполненной области файла. Надеюсь данный кейс поможет вам освоить форензику. Удачи!

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org