StegoScan工具的工作原理如下:
StegoScan 首先搭建了自己的專用 Python 環(huán)境,創(chuàng)建本地工作區(qū),并安裝了所有必要的工具和軟件包��,以支持其分析功能套件�。一切就緒后,它會驗(yàn)證所有提供的IP地址(如果被選中)���,以確保它們屬于活躍的網(wǎng)絡(luò)服務(wù)器���。
目標(biāo)確定后,StegoScan 開始工作——從給定的 IP 地址和 URL 中抓取所有指定類型的可用文件�����。如果選擇了本地目錄����,它也會從那里收集文件。每個收集的文件都會按類型整齊地組織并存儲在所選目錄中��。
接下來����,StegoScan會準(zhǔn)備結(jié)果目錄并推出隱寫檢測套件。想了解更多可用的測試內(nèi)容�����,請查看標(biāo)題為“隱寫測試”的部分。隨著隱藏數(shù)據(jù)的發(fā)現(xiàn)���,文件會被分類并存儲在對應(yīng)特定測試的子文件夾中��。所有測試完成后��,StegoScan 最終完成流程并完成執(zhí)行�。
注意�,在運(yùn)行程序時:
1.所有抓取的文件都會存儲在執(zhí)行時提供的輸出目錄中。
2.自動創(chuàng)建并安裝所有必要的 Python 導(dǎo)入環(huán)境�。
3.腳本會自動安裝poppler-utils、stegdetect�����、binwalk和zsteg����。
4.如果檢測到兼容CUDA的GPU,則使用GPU加速���。
基本用途:
python StegoScan.py -u “https://” -t “*” -o “downloads” -m “all”
從URL下載文件:
Python StegoScan.py -u “https://” -t “jpg����,png” -n 5 -o “downloads” -m “all”
分析本地目錄:
Python StegoScan.py -l “path/to/local/files” -t “*” -o “downloads” -m “l(fā)sb�, hist, png”
基礎(chǔ)命令參數(shù):
-u��, --url:用于抓取文件的基礎(chǔ)URL����、IP地址或IP范圍。-t��, --類型:下載文件擴(kuò)展名的逗號分隔列表(*表示所有文件)��。-n��, --num :可下載的文件數(shù)量�����。-o�, --output :輸出目錄。-m�����, --模式:測試模式用于指定特定測試(例如,lsb�、hist)或所有測試的“全部”。-l����, --local :用于分析的本地文件或目錄路徑。
主要作用:
1.網(wǎng)頁爬取與文件下載——自動從URL�、IP地址和IP范圍提取和下載特定文件類型,支持大規(guī)模網(wǎng)頁內(nèi)容分析�����。
2.本地目錄提取與測試——掃描本地目錄中的隱寫內(nèi)容���,識別存儲文件中的隱藏信息�。
3.圖像處理與隱寫分析——對圖像進(jìn)行深入的隱寫測試��,利用多種檢測技術(shù)發(fā)現(xiàn)隱藏數(shù)據(jù)����。
4.從 PDF 和 DOCX 中提取嵌入文件——從 PDF 和 DOCX 文檔中提取和分析圖像和嵌入文件,是識別深度隱寫內(nèi)容的關(guān)鍵步驟��。
5.Steganographing檢測工具——集成stegano�、stegdetect和zsteg���,實(shí)現(xiàn)圖像文件中隱藏信息的多層檢測。
6.AI驅(qū)動的對象與文本檢測——通過AI驅(qū)動的分析增強(qiáng)傳統(tǒng)檢測方法:
7.TrOCR 用于高級文本識別�����,能夠從手寫���、風(fēng)格化或失真字體中提取文本,精度優(yōu)于標(biāo)準(zhǔn) OCR 工具�����。
8.基礎(chǔ)惡意軟件與ELF文件分析——對ELF二進(jìn)制文件及其他可執(zhí)行文件進(jìn)行初步安全分析�,幫助識別潛在惡意軟件威脅。
9.音頻與二進(jìn)制文件分析——分析WAV和MP3文件中的隱藏隱匿數(shù)據(jù)�,包括嵌入頻譜圖或不可聽頻率范圍的信息。
10.二進(jìn)制文件結(jié)構(gòu)提取——利用Binwalk提取和檢查二進(jìn)制文件中的隱藏文件���、固件和嵌入數(shù)據(jù)���。
11.多線程支持——優(yōu)化性能,支持快速高效掃描大型數(shù)據(jù)集�����,非常適合取證調(diào)查和大規(guī)模網(wǎng)絡(luò)安全應(yīng)用。
隱寫術(shù)測試(用到的相關(guān)文件存放在images文件中):
1.LSB——使用 stegano Python 導(dǎo)入來檢查 PNG 文件中隱藏的明文信息�����。
左側(cè)為未修改的圖像����,右側(cè)圖像中嵌入了“hello world”
2.圖像完整性——使用 Pillow Python 導(dǎo)入來檢查 PNG 和 JPG 文件的完整性。
3.Hist - 使用 Matplotlib Python 導(dǎo)入生成顯示 PNG 和 JPG 文件 RGB 顏色值分布的直方圖��。
4.物體檢測——使用 YOLOv8 和 TrORC����,通過迭代移除 LSB,只測試圖像上的紅�、綠、藍(lán)濾鏡����,測試每一層的 PNG 和 JPG 文件。
隱藏在LSB中的貓的隱藏圖像�����,用YOLOv8揭開
5.JPEG - 使用 Stegdetect Linux 命令行工具測試 JPG 文件,利用 jSteg���、jphide�����、Outguess���、F5(頭部分析)����、Invisible Secrets、AppendX 和 Camouflage 等技術(shù)檢測嵌入圖像中的隱藏數(shù)據(jù)�����。
6.PNG - 使用 Zsteg Linux 命令行工具測試 PNG 檢測 LSB 隱寫法���,檢查不同顏色通道(R���、G、B��、A)及其位平面,檢測用于隱藏圖像數(shù)據(jù)的常用編碼技術(shù)����、有效載荷提取、文本和 ASCII 隱藏消息���,以及熵分析�。
左側(cè)未改動的圖像�,右側(cè)圖像“嵌入了《獵殺斯納克》的第一章”
7.音頻完整性——使用 Wave Python 導(dǎo)入來檢查 MP3 和 WAV 文件的完整性。
8.音頻檢測——使用 Librosa Python 導(dǎo)入生成 MP3 和 WAV 文件的音頻頻譜圖�,然后通過 YOLOv8 和 TrORC 檢查文件在時間內(nèi)的頻率值顯示中隱藏的圖像或信息。
通過 TrORC 發(fā)現(xiàn)的音頻文件中的隱藏短信���。
9.二進(jìn)制 - 使用 Binwalk Linux 命令行工具測試二進(jìn)制文件中的嵌入文件和數(shù)據(jù)�,識別二進(jìn)制文件中的已知文件簽名(例如 ZIP���、PNG����、ELF 等)���,檢測二進(jìn)制映像中的固件組件����,壓縮和加密數(shù)據(jù),查找文件內(nèi)的壓縮數(shù)據(jù)(例如 LZMA���、GZIP���、BZIP2),標(biāo)記加密或混淆數(shù)據(jù)��,文件系統(tǒng)簽名�,識別嵌入文件系統(tǒng)(例如 SquashFS、JFFS2��、EXT���、FAT),檢測已編譯的可執(zhí)行文件(ELF�、PE、Mach-O)��,識別引導(dǎo)加載程序和固件組件����,以及熵分析
10.Elf 檢查——使用 YARA 規(guī)則���、magic bytes、Linux 文件命令和熵分析來檢查所有文件是否嵌入惡意軟件����。
