| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima [2020/01/04 02:56]
amijic [Fazno kodiranje] |
racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima [2024/12/05 12:24] (trenutno)
|
| Korištenjem ove tehnike poruka se skriva stvaranjem jeke u zvučnom zapisu. Ako je razlika u vremenu između originalnog signala i jeke dovoljno mala, ljudski auditorni sustav neće čuti jeku. Za većinu slušatelja jeka koja se pojavljuje manje od 1 milisekunde nakon izvornog signala neće biti primjetljiva [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=16|[1]]]. | Korištenjem ove tehnike poruka se skriva stvaranjem jeke u zvučnom zapisu. Ako je razlika u vremenu između originalnog signala i jeke dovoljno mala, ljudski auditorni sustav neće čuti jeku. Za većinu slušatelja jeka koja se pojavljuje manje od 1 milisekunde nakon izvornog signala neće biti primjetljiva [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=16|[1]]]. |
| |
| Za kodiranje bitova poruke koriste se dvije različite vrijednosti kašnjenja jeke za originalnim signalom. Obje vrijednosti kašnjenja jeke trebaju biti dovoljno male, da ih ljudski auditorni sustav ne može primijetiti. Zvučni signal treba biti podijeljen u dijelove, kako bi se moglo kodirati više bitova poruke. Svakom segmentu signala dodaje se jeka koja označava nulu ili jedinicu. | Za kodiranje bitova poruke koriste se dvije različite vrijednosti kašnjenja jeke za originalnim signalom. Obje vrijednosti kašnjenja jeke trebaju biti dovoljno male da ih ljudski auditorni sustav ne može primijetiti. Zvučni signal treba biti podijeljen u dijelove kako bi se moglo kodirati više bitova poruke. Svakom segmentu signala dodaje se jeka koja označava nulu ili jedinicu. |
| |
| {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo1.png?nolink&300 }} | {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo1.png?nolink&300 }} |
| |
| Originalni signal podijeljen u segmente. U svaki segment zapisat će se jedan bit poruke koja se skriva. Slika preuzeta iz [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=17|[1]]]. | Originalni signal podijeljen u segmente. U svaki segment zapisat će se jedan bit poruke koja se skriva. Slika je preuzeta iz [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=17|[1]]]. |
| |
| {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo2.png?nolink&300 }} | {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo2.png?nolink&300 }} |
| |
| Signal s jekom koja označava vrijednost 1 (ljubičasta linija je jeka). Slika preuzeta iz [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=17|[1]]]. | Signal s jekom koja označava vrijednost 1 (ljubičasta linija je jeka). Slika je preuzeta iz [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=17|[1]]]. |
| |
| {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo3.png?nolink&300 }} | {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo3.png?nolink&300 }} |
| |
| Signal s jekom koja označava vrijednost 0 (ljubičasta linija je jeka). Slika preuzeta iz [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=17|[1]]]. | Signal s jekom koja označava vrijednost 0 (ljubičasta linija je jeka). Slika je preuzeta iz [[http://www.cs.utsa.edu/~jortiz/CS4953/Papers/Techniques%20for%20Data%20Hiding-p.pdf#page=17|[1]]]. |
| |
| Za dekodiranje potrebno je znati veličinu segmenta i vrijednosti kašnjenja jeke za vrijednosti 0 i 1. Kašnjenje jeke može se izračunati iz segmenta signala promatranjem realnog [[https://en.wikipedia.org/wiki/Cepstrum|cepstruma]] signala. [[https://www.mathworks.com/help/signal/ref/rceps.html|Realni cepstrum]] računa se tako da se odredi Fourierova transformacija signala, izračuna logaritam apsolutne vrijednosti transformiranog signala, pa se nad tim logaritmom izračuna inverzna Fourierova transformacija. Realni cepstrum segmenta imat će visoku vrijednost u trenutku u kojem se pojavljuje jeka. | Za dekodiranje potrebno je znati veličinu segmenta i vrijednosti kašnjenja jeke za vrijednosti 0 i 1. Kašnjenje jeke može se izračunati iz segmenta signala promatranjem realnog [[https://en.wikipedia.org/wiki/Cepstrum|cepstruma]] signala. [[https://www.mathworks.com/help/signal/ref/rceps.html|Realni cepstrum]] računa se tako da se odredi Fourierova transformacija signala, izračuna logaritam apsolutne vrijednosti transformiranog signala pa se nad tim logaritmom izračuna inverzna Fourierova transformacija. Realni cepstrum segmenta imat će visoku vrijednost u trenutku u kojem se pojavljuje jeka. |
| |
| {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo_example_1.png?nolink&200 }} | {{ :racfor_wiki:datoteke_i_datotecni_sustavi:echo_example_1.png?nolink&200 }} |
| |
| Primjer cepstruma dvaju signala s dodanom jekom. Crvenom bojom označen je signal s jekom koja označuje 0, a plavom bojom signal s jekom koja označuje 1. Na x-osi ovakvog grafa stoji vrijeme, i moguće je odrediti točno kašnjenje jeke za originalnim signalom. | Primjer cepstruma dvaju signala s dodanom jekom. Crvenom bojom označen je signal s jekom koja označuje 0, a plavom bojom signal s jekom koja označuje 1. Na x-osi ovakvog grafa stoji vrijeme i moguće je odrediti točno kašnjenje jeke za originalnim signalom. |
| |
| Za razliku od prošle dvije tehnike, moguće je komprimirati zvučni zapis s gubitcima, a da i dalje poruka ostane sačuvana, ako se jeka očuva pri kompresiji. | Za razliku od prošle dvije tehnike, moguće je komprimirati zvučni zapis s gubitcima, a da i dalje poruka ostane sačuvana ako se jeka očuva pri kompresiji. |
| |
| |
| 2019. godine poznat je [[https://latesthackingnews.com/2019/10/20/hackers-now-employ-steganography-to-wav-audio-files-for-hiding-malware|slučaj skrivanja zloćudnog koda u zvučne zapise steganografskim postupkom]]. [[https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html#Loaders|Pronađena su tri različita zvučna zapisa]]. | 2019. godine poznat je [[https://latesthackingnews.com/2019/10/20/hackers-now-employ-steganography-to-wav-audio-files-for-hiding-malware|slučaj skrivanja zloćudnog koda u zvučne zapise steganografskim postupkom]]. [[https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html#Loaders|Pronađena su tri različita zvučna zapisa]]. |
| |
| Prvi zvučni zapis sadrži [[https://www.virustotal.com/gui/file/4fd1d0671395b1b0815b0704d31af816779a6a0a516ea6f82a9196f18bf513cc/detection|XMRig Monero CPU miner]], skriven metodom [[:racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima#lsb_kodiranje|LSB kodiranja]]. Nužno je da na zaraženom računalu već postoji [[https://www.virustotal.com/gui/file/595a54f0bbf297041ce259461ae8a12f37fb29e5180705eafb3668b4a491cecc/detection|zloćudni program ("loader")]] koji će dekodirati i pokrenuti izvršnu datoteku iz zvučnog zapisa. Drugi zapis također sadrži [[https://www.virustotal.com/gui/file/7dc620e734465e2f5aaf49b5760df634f8ec8eeab29b5154cc6af2fc2c4e1f7c/detection|XMRig Monero CPU miner]], ali je kodiran pomoću niza pseudoslučajnih brojeva. Zaglavlje .wav datoteke je ispravno, ali datoteka ne sadrži stvaran zvučni zapis (čuje se samo šum). Izvršna datoteka dekodira se oduzimanjem pseudoslučajnog broja od svakog okteta nakon zaglavlja. Funkcijom [[https://docs.microsoft.com/en-us/cpp/c-runtime-library/reference/srand?view=vs-2019|srand]] s fiksnom vrijednosti određuje se deterministički niz pseudoslučajnih brojeva. Treći zapis pokreće "reverse shell" sa zaraženog računala, a kodiran je na isti način kao i drugi zapis. | Prvi zvučni zapis sadrži [[https://www.virustotal.com/gui/file/4fd1d0671395b1b0815b0704d31af816779a6a0a516ea6f82a9196f18bf513cc/detection|XMRig Monero CPU miner]], skriven metodom [[:racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima#lsb_kodiranje|LSB kodiranja]]. Nužno je da na zaraženom računalu već postoji [[https://www.virustotal.com/gui/file/595a54f0bbf297041ce259461ae8a12f37fb29e5180705eafb3668b4a491cecc/detection|zloćudni program ("loader")]] koji će dekodirati i pokrenuti izvršnu datoteku iz zvučnog zapisa. U ovom primjeru takav program skriven je pod imenom "Microsoft MediaPlayer" kako ne bi bilo sumnjivo njegovo pristupanje zvučnim zapisima. Drugi zapis također sadrži [[https://www.virustotal.com/gui/file/7dc620e734465e2f5aaf49b5760df634f8ec8eeab29b5154cc6af2fc2c4e1f7c/detection|XMRig Monero CPU miner]], ali je kodiran pomoću niza pseudoslučajnih brojeva. Zaglavlje .wav datoteke je ispravno, ali datoteka ne sadrži stvaran zvučni zapis (čuje se samo šum). Izvršna datoteka dekodira se oduzimanjem pseudoslučajnog broja od svakog okteta nakon zaglavlja. Funkcijom [[https://docs.microsoft.com/en-us/cpp/c-runtime-library/reference/srand?view=vs-2019|srand]] s fiksnom vrijednosti određuje se deterministički niz pseudoslučajnih brojeva. Treći zapis pokreće "reverse shell" sa zaraženog računala, a kodiran je na isti način kao i drugi zapis. |
| |
| |
