Использование свойств формата файла-контейнера:
сокрытие в межформатных пространствах файла-контейнера;
сокрытие-маскировка.
Использование свойств атрибутов и данных изображения (звука) файла-контейнера, свойств сжимаемых потоков файла-контейнера:
сокрытие с использованием атрибутов файла-контейнера;
сокрытие с использованием свойств данных файла-контейнера.
Использование свойств файловой системы:
использование не декларированных возможностей файловой системы;
изменение атрибутов скрываемого файла.
Рис. 27. Известные методы стеганографии
5.2.3. Использование свойств формата файла-контейнера
5.2.3.1. Сокрытие в межформатных пространствах файла-контейнера
Сокрытие в межформатных пространствах предполагает простейший, с точки зрения реализации принцип – вписать файл-сообщение в пустоты или изначально нечитаемые области, предполагаемые форматом файла-контейнера. Наиболее часто используемыми методами можно считать сокрытие в конце файла-контейнера и между блоками файла-контейнера. Например, использование межстроковых областей в текстовых файлах с ASCII – кодировкой, располагая файл-сообщение между маркерами «Конец строки» (шестнадцатирич. – 0D, десятичн. – 13) и «Возврат каретки» (шестнадцатирич. – 0A, десятичн. – 10).
Эти методы, будучи наиболее простыми, являются и наиболее уязвимыми, так как приводят к не обусловленному увеличению общего объема файла-контейнера, при определенной очевидности нахождения в нем файла-сообщения.
Сокрытие в конце файла-контейнера
Внутреннее устройство большинства форматов файлов основано на «блочном» принципе, и в качестве идентифицирующих элементов, ограничивающих длину блоков, используются специальные маркеры. В функции маркеров входит, контроль за выводом содержимого файла на экран, принтер и другие внешние устройства.
Становится очевидно, что расположив некоторые данные за маркерами, не вмешиваясь в системное устройство файла, можно избежать их попадания на экран и при этом не вызвать сбой в программе просмотра.
Самым простым способом достигнуть это можно скрыв информацию в конце файла практически любого из форматов цифрового изображения, обработав маркер «Конец изображения» (например, в bmp это — «А2 FF», а в jpeg — «FF D9»). В формате gif, позволяющим хранить несколько разных изображений (как правило, анимации), после каждого следует маркер «00 3В» [9].
Программа-просмотрщик начинает обработку цифровых данных в буфере вывода изображения, абсолютно не интересуясь битами оставленными между маркером и физическим адресом конца файла.
Предварительно осуществив какую-либо криптографическую защиту скрываемых данных (что желательно во всех случаях использования стеганографических методов), этим способом можно разместить информацию, объем которой ограничен лишь нашим пониманием проблемы уязвимости этого метода. Ибо открыв файл «вручную» любым текстовым просмотрщиком, наблюдатель без особых проблем обнаружит наши секретные сведения.
Сокрытие между блоками файла-контейнера
Похожий принцип используется и в данном случае. После маркера, идентифицирующего некоторый внутренний блок файла-контейнера, как правило, указывается его длина. Стандартный «вьювер» игнорирует данные, расположенные после поля «Length» (Размер блока), пока не находит следующий маркер. Это позволяет размещать скрываемую информацию между различными фрагментами файла-контейнера. Причем, в качестве контейнерных пространств можно использовать «зазоры» не только служебных блоков, но блоков сжатых графических данных.
Тщательно проанализировав форматы файлов, оставляющие в теле файла различные служебные поля и блоки, всегда можно найти возможности подобного сокрытия информации.