понедельник, 4 июня 2012 г.

IT безопасность: выявление метода изменения кода пробела

Завершает серию статей о выявлении текстовой стеганографии описание методики определение сообщения, скрытого методом изменения кода пробела.
Метод изменения кода пробела основан на том факте, что во многих кодировках одному и тому же символу (пробелу) может соответствовать несколько кодов. В Windows-1251 пробел обычно кодируется байтом 20h.
Для эффективного обнаружения предлагается следующий алгоритм:


пока (в файле есть символы){
считать очередной символ
если(код символа 20h)
число_нулей+=1
иначе если (код символа A0h)
        число_единиц+=1


если(min(число_нулей,число_единиц)>ЗАДАННАЯ_ВЕЛИЧИНА){
    сделать вывод, что имеется скрытое сообщение
        }иначе { 
    сделать вывод что в файле нет скрытого сообщения
}
}
завершение работы

Поясним данный алгоритм стеганографического анализа:
Так как при скрытии информации в текстовом файле меняется код пробела, то при детектировании подсчитывается число пробелов с кодом 20h (соответствует сокрытию бита = 0) и число пробелов с кодом A0h (соответствует сокрытию бита = 1). Идея алгоритма состоит в том, что для передачи существенного обьема информации невозможно пользоваться только единичным или нулевым битом, т.о. как только предполагаемое число сокрытых  битов превысит ЗАДАННУЮ_ВЕЛИЧИНУ , происходит срабатывание детектора.
Параметром алгоритма является  ЗАДАННАЯ_ВЕЛИЧИНА – ее значения выбирается исходя из требований, предьявляемых к детектору.
Для файлов содержащих обычный текст значение параметра выберем следующим образом: ЗАДАННАЯ_ВЕЛИЧИНА =11. Выбор параметра ограничивает пропускную способность канала не более 3 байтами на файл.

Комментариев нет:

Отправить комментарий