lunes, 30 de septiembre de 2013

Esteganografia en ficheros ZIP

Por: The Inspector

Análisis de manejadores ZIP
En continuidad con el articulo sobre formato zip he hecho un análisis sobre los programas mas comunes que manejan este tipo de archivos (Explorador de Windows, Winrar, 7zip) y sus diferencias.

Retomando, la estructura de un archivo ZIP tiene básicamente los siguientes elementos

  • Datos del archivo comprimido
  • Indice de archivos comprimidos
  • Descripción del indice

Esta estructura es susceptible a métodos esteganográficos de una manera muy sencilla y sin embargo no efectiva para todos los programas de la misma manera.

A continuación una breve descripción de los programas mencionados en este articulo.


Explorador de Windows


Este programa es el que por defecto maneja los archivos comprimidos en formato zip dentro del ambiente Windows y básicamente solo utiliza la primera y segunda parte de la estructura para abrir el archivo, lo que significa que una simple modificación en el indice haría que un archivo no fuese listado en su contenido.


Winrar

Este programa que también es utilizado para manejar este tipo de archivos tiene una ventaja frente al anterior y es que posee una herramienta de información que lee parte del descriptor del indice y otra herramienta de recuperación de archivos, la cual hace un recorrido por la sección de datos de archivos comprimidos para realizar una reconstrucción del indice, este programa sin embargo no llega a la verificación de la longitud del indice en la estructura de descripción.


7zip

Este programa lee los tres elementos del archivo, hace una verificación del indice y la descripción del indice, por lo que algunos métodos esteganográficos hacen del archivo un archivo no valido para este programa y otros son inválidos puesto que el programa puede detectar algunas alteraciones en la tabla de contenido.

A continuación una descripción de diferentes métodos esteganograficos y sus resultados frente e los programas mencionados.


Esteganografiando en ZIP

Describiré cuatro métodos para hacer esteganografía en zip y sus resultados frente a los programas mencionados.

Método I

Este método consiste en reemplazar los bytes que corresponden al nombre del archivo a ocultar en el indice por bytes nulos (0x00), lo que produce que los programas mencionados arriba funcionen así:

Explorador de Windows: Este programa simplemente no puede representar el nombre del archivo y no hace nada al respecto por lo que el usuario solo ve el resto de los nombres del indice. No tiene opciones de verificación del archivo por tanto el mencionado fichero pasaria desapercibido.

Winrar: Este programa tampoco encuentra forma de representar el nombre del archivo por lo que tampoco se muestra en el listado, sin embargo posee dos herramientas que son:
-Información: Esta herramienta permite ver que el numero de archivos empaquetados no corresponde con el listado que se muestra
-Reparar archivo: Esta herramienta permite hacer la reconstrucción de la tabla de contenido a partir de la sección de Datos generando un archivo con la tabla correcta.

7zip: Este programa al encontrar los bytes nulos en la tabla de contenido genera una entrada con el nombre del archivo contenedor, posee al igual que winrar una herramienta de información pero sin embargo no posee una herramienta de reconstrucción igualmente tampoco permite hacer la extracción del archivo a menos que la longitud del nombre corresponda con la que se reemplazo por los bytes nulos.

Metodo CI

Este método consiste en reemplazar los bytes que corresponden al nombre del archivo a ocultar por bytes nulos (0x00) no solo en el indice sino también en la sección de datos, haciendo que los programas reaccionen asi:

Explorador de windows: Este programa simplemente no puede representar el nombre del archivo y no hace nada al respecto por lo que el usuario solo ve el resto de los nombres del indice. No tiene opciones de verificación del archivo por tanto el mencionado fichero pasaría desapercibido.

Winrar: Este programa no encuentra forma de representar los caracteres del nombre del archivo por lo que no puede mostrarlo en el listado de archivos, la herramientas del programa reaccionan asi:
-Información: Esta herramienta permite ver que el numero de archivos empaquetados no corresponde con el listado que se muestra
-Reparar el archivo: Esta herramienta permite hacer la reconstrucción de la tabla de contenido a partir de la sección de Datos, por tanto al reparar el archivo no encuentra la forma de representar nuevamente la tabla de contenido.

7zip: Este programa al encontrar los bytes nulos en la tabla de contenido genera una entrada con el nombre del archivo contenedor, posee al igual que winrar una herramienta de información pero sin embargo no posee una herramienta de reconstrucción igualmente tampoco permite hacer la extracción del archivo a menos que la longitud del nombre corresponda con la que se reemplazo por los bytes nulos.


Metodo ID-1

Este método consiste en la eliminación de la entrada en el directorio central del archivo a ocultar y restarlo del descriptor del indice sin modificar la longitud del indice en el descriptor.

Explorador de windows: Al no existir la entrada en el indice no se mostrará, este programa no hace verificación del descriptor del indice por lo que el archivo pasa totalmente desapercibido.

Winrar: Al no existir la entrada en el indice no la mostrará, no hace verificación de la longitud del indice por lo que el archivo pasa desapercibido y las herramientas del programa reaccionan asi:
-Información: Esta herramienta muestra que las entradas del indice corresponden con la cantidad de archivos contenidos por lo que este análisis haría que el archivo pase desapercibido.
-Reparación: Esta herramienta en cambio encontraría en la sección de datos el archivo extra y repararía el archivo en su totalidad.

7zip: Debido a que el programa hace verificación de la longitud del indice en el descriptor del indice antes de mostrar el contenido del archivo, encuentra que las longitudes no coinciden así que el archivo no es valido por tanto no muestra su contenido.


Metodo ID-2


Este método consiste en la eliminación de la entrada en el directorio central del archivo a ocultar, restarlo del descriptor del indice y modificar la longitud del indice en el descriptor.

Explorador de Windows: Al no existir la entrada en el indice no se mostrará, este programa no hace verificación del descriptor del indice por lo que el archivo pasa totalmente desapercibido.

Winrar: Al no existir la entrada en el indice no la mostrará, no hace verificación de la longitud del indice por lo que el archivo pasa desapercibido y las herramientas del programa reaccionan asi:
-Información: Esta herramienta muestra que las entradas del indice corresponden con la cantidad de archivos contenidos por lo que este análisis haria que el archivo pase desapercibido.
-Reparación: Esta herramienta en cambio encontraría en la sección de datos el archivo extra y repararia el archivo en su totalidad.


7zip: Este tipo de modificación hace que el archivo pase desapercibido puesto que este programa no hace verificación de la sección de datos.
Publicadas por a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)