Göttlicher Tipp

[Azraelilmeraz]

Den Trick kennt zwar jeder, aber ich muss den irgendwie posten:

Man nehme ein Rar-Archiv und ein JPEG bild und verschiebe die Beiden in einen Ordner. (Am besten C:/Tmp oder sowas, der ordner ist ja nur für ne temporäre nutzung).

Die beiden Dateien sollten einfache Namen haben. Keine leerzeichen oder %&$/&%/&%. Und nach Möglichkeit kurz.

Jetzt drückt ihr auf Start-> Ausführen. dort wird gnadenlos cmd eingetippt und auf OK gedrückt. in der Konsole folgendes eintippen:

cd C:/Tmp

und dann

copy /b jpgname.jpg + rarname.rar output.jpg

man erhält eine neue Datei - output.jpg. welche zuerst wie das ursprüngliche bild aussieht. untersucht man die filegröße, merkt man, dass die output.jpg gößer ist. Man kann diese mit WinRAR öffnen. Das klappt ohne Probleme. Man hat nun eine jpgRAR gebaut - ein Bild, dass in wirklichkeit ein Archiv ist.

Kann man benutzen, um irgendwelche Archive zu verstecken - selbst wenn die Person den Trick auch kennt - KEINER wird deine Urlaubsphotos aus den Alpen auf RAR-Archive prüfen.

Wieso klappt das?
Weil der copy befehl das archiv an das Ende des Bildes setzt - alles was nach den Bild kommt, wird vom Anzeigeprogramm ignoriert und WinRar ignoriert alles, was vor den WinRAR- header kommt.

man kann damit auch gifRARs oder pngRARs oder sogar wavRARs bauen. auch xxxZIP geht, wenn man die datei mit winrar öffnet.

so, viel spaß damit.

 

[Kokuun]

Für die visuelen Leute hier der Trick mit einem Video

Ist aber schon etwas älter :P

http://www.the-device.net/page/text_in_bild_versteckt.php

Was mich aber interessieren würde, gibt es eine Möglichkeit ein solches Bild sofort zu erkennen?

 

[Azraelilmeraz]

Man erkennt die Dinger daran, dass die sich mit WinRAR öffnen lassen. xD

Was vllt möglich wäre - einem Antivirus Beibringen, allergisch auf WinRAR-Header zu reagieren. Hat dann natürlich den nachteil, dass man dann auch bei normaler Archiven ne Meldung bekommt. könnte auf dauer nerven.

Fragt mich aber bitte nicht, wie das geht. Am besten schickt man da eine email an den jeweiligen AV-Entwickler. Schließlich stellen sie ja die datenbasen für ihre software her.

 

[Janos]

ich hatte das problem schon nach dem 3 eingefangenen spyware tojaner aufgelöst du öffnest das teil nemlich mit nem editor und da wird es nachwie vor als unterschiedliche dateiart angezeigt, nun kurze arbeit Antifir öffnen neuen dateityp mit den enderungen einfügen und den verlaufsweg manipukieren, nun das ganze hat ausnahmsweise mal keinen hacken. (mit ausnahme an der grenze zum lizenzbruchs) und wirklich bringen tut das nichts wenn man einen editor drüber laufen lässt und der andere sich nur ein bissel auskennt schon verschissen der findets sofort raus, aber die meisten machen sich garnicht die mühe sich soviel mühe zu machen,

tja wieder ein trick wo an meine (magick) wall abprahlt als ob es eine fliege gegen eien mauer aus stein probiert,

 

[Azraelilmeraz]

Öh. Warum hab ich jetzt net verstande, was du geschrieben hast?
vor allem der letzte Satz. Was ist der Trick, was prallt wo ab?

Ich meinte jetzt generell, wenn man garkeinen Verdacht hat, dass das ein jpgRAR sein könnte, dass das AV-Programm ne warnung ausgibt, wenns RAR-Header in einer Datei sieht

bei dem Satz komm ich net ganz mit:

du öffnest das teil nemlich mit nem editor und da wird es nachwie vor als unterschiedliche dateiart angezeigt, nun kurze arbeit Antifir öffnen neuen dateityp mit den enderungen einfügen und den verlaufsweg manipukieren

Wieso soll man denn die Datei mit dem Editor öffnen? Das Bild wird als unterschiedliche Dateiart angezeigt?! hä? xDDD

Und ich dachte Friedrich Schillers "Kabale und Liebe" hätte eine hohe Sprache^^

 

[Janos]

dieser virentyp wird von meiner magickwall (firewall) einfach entdeckt und vernichtet dieser trick ist so als ob man eine fliege auf einen elefanten losgehen lässt,

nun wenn du die datei mit nem editor öffnest bekommst du alle dateien degifriert und wenn du nur ein bissel solche muster anschaust weist du nach 2-3 tagen was für ne datei ist wie sie angeordnet sind welche dichte sie haben und und und,
und der editor kennt kein rar muster er stellt die dateien immer standard da,

und ich habe nur für meinen AV den verlaufsweg geendert auf die art sieht er was drinnen ist drum macht er es so wie einen punkt weiter unten,

nun mein antivir durchsucht einfach den inhalt der datei und springt nicht nur auf header an,

ok ich hoffe es ist jetzt etwas verständlicher, die meisten hier im forum wissen schon das ich manchmal sehr anstrengendt und schwer nachzuvollziehen schreibe aber wenn man nachfrägt mach ich es erklärlicher,

ich hoffe das ist mir gelungen heute ist nicht wirklich mein tag,

 

[Bloody]

Was mich aber interessieren würde, gibt es eine Möglichkeit ein solches Bild sofort zu erkennen?

Linux. Ansonsten sogut wie alle was die Dateisignatur prüft (was ja Linux beinhaltet).

ps. Gut Linux als solches war zu allgemein verfasst, nennen wir es lieber Tools und Dienstprogramme die primär auf der Open Source Platform laufen und in der Regel Open Source sind. Die einfache Form der Steganographie welche hier ja angeboten wird ist dabei unsicher und kann mittels Analyse der Datei noch identifiziert werden.

 

[Azraelilmeraz]

dieser virentyp wird von meiner magickwall (firewall) einfach entdeckt und vernichtet dieser trick ist so als ob man eine fliege auf einen elefanten losgehen lässt,

nun wenn du die datei mit nem editor öffnest bekommst du alle dateien degifriert und wenn du nur ein bissel solche muster anschaust weist du nach 2-3 tagen was für ne datei ist wie sie angeordnet sind welche dichte sie haben und und und,
und der editor kennt kein rar muster er stellt die dateien immer standard da,

und ich habe nur für meinen AV den verlaufsweg geendert auf die art sieht er was drinnen ist drum macht er es so wie einen punkt weiter unten,

nun mein antivir durchsucht einfach den inhalt der datei und springt nicht nur auf header an,

Ich fang mal von unten an:
kein Programm kann dir sagen, ob ein Datensegment zu einem Bild, einem RAR-Archiv oder einem Virus gehört. Es muss nach auffälligkeiten suchen. Im falle von WinRAR sind es die RAR-Header. Bei Viren verdächtige Codesegmente, die z.B der Vermehrung o. Beschädigungen der Datein dienen. Usw. Und nicht nur dein Antivir durchsucht die ganze Datei, sondern jeder andere (wenigstens semi-professionelle) auch, sonst würde er diese Auffälligkeiten nicht entdecken.

Was ist denn der Verlaufsweg? Wenns so in deinem AV-Programm steht, heißt es nicht, dass es überall genauso heißt, bitte erklären. Außerdem ist es ne schwache Leistung von einem AV-Programm, wenn man etwas ändern muss, bevor er die Dateien richtig durchsucht. Ich würde mir an deiner Stelle vllt. ein neues zulegen :|

Wenn ich eine Datei mit dem Editor öffne, bekomm ich alles andere, als den dechiffrierten Inhalt, sondern eher die als ASCII-Zeichenkette interpretierte Bitfolge der Information, die in dieser Datei gespeichert war. Die meisten Dateien enthalten einige Infos, die wirklich so gelesen werden können. Man betrachte da z.B die folgende Zeichenkette:

ÿØÿà JFIF

H H ÿáòExif II*   
 ’ 
  ² 

Ê 




× 

ß (

 1
  ç 2
  

 i‡

p YAKUMO DIGITAL CAMERA YAKUMO OPTICAL CO,LTDYK-47sx ۟
' ۟
' Adobe Photoshop CS2 Windows 2007:05:15 20:09:18 

Ein Foto. Man sieht mit welcher Kamera das Foto gemacht wurde und dass mans mit Photoshop geändert hat (sogar mit Datum). Da kann man sofort erkennen, ob der Partner im Chat sich nicht doch ein bisschen hübscher gemacht hatte, als er eigentlich ist.
Der Rest sieht so aus, als würde er keiner Logik folgen. IMMER! Man kann da keine "Muster" oder ähnliches erkennen. Wer hat dir denn sowas gesagt?!
Dichte? Anordungen? öffne mal eine Exe und eine jpg. scroll etwas runter. Und jetzt schau in den Spiegel und sag dir selber die Wahrheit ins Gesicht^^: Die beiden könntest du nicht unterscheiden. Höchstens die Header.
Schon mal Hex-Code geschrieben? Kaum ein programmierer weiß, welcher Befehl welche hex-nummer hat. Für nicht-hexxler gilts auch: Ein fertiges Programm sieht selbst für seinen Programmierer unverstänlich aus, wenn man die kompilierte und gelinkte exe mit einem Editor öffnet. Also nix da mit Spuren und Muster!
Der Editor stellt nicht "standard-dar". Er zeigt dir, was rauskommt, wenn du versuchst, die Datei dazu zu vergewaltigen, ihren Inhalt als eine Zeichenkette darzustelllen. NAtürlich kennt der Editor kein RAR. Er kennt nur Zeichenfolgen. Deswegen kannst du auch nicht herausfinden, ob das ein jpGRAR ist oder nicht - Die information aus dem Archiv wird einfach an das Bild hintendrangehangen. Du musst schon ziemlich viel glück haben, um genau an diese Verbindungsstelle zwischen den beiden mit dem Editor zu kommen. Und anhand der Daten im Bild-teil kann man auch keine Aussagen treffen, ob ein anderer Teil in der Datei drin ist. Dort stehen nur die Bild-Informationen. Im RAR teil gilt dasselbe

Ähm - seit wann sprechen wir von Viren? Natürlich erkennt dein AV, dass es ein Virus ist, wenn du ein Virus an das Bild heftest. Das Innere deds Virus wird dabei ja nicht verändert. Das AV sieht die Signatur und BÄM ist das ding weg. Wir sprechen von RAR - Archiven. Und der Trick ist, Inhalte zu verstecken, die man anderen nicht gerne Zeigen will, und nicht das AV zu verarschen.

Außerdem kann eine Fliege dem Elephanten ins Ohr krabbeln und wenn se aggressiv genug ist, in sein Hirn zu kommen und es von Innen auffressen. Eine hypothetische Hirnliebende Fliege natürlich^^.

naja - also - Viren wird (fast) jedes AV überall erkennen. Egal ob gepackt, hinter Bild versteckt o. sonstiges. Deswegen braucht man sich garnicht drum kümmern. Wofür hat Jesus Sicherheitsexperten geschaffen?

Was ich jetzt meinte wäre die Möglichkeit, dem AV-Prog. beizubringen, eine Meldung auszuspucken, wenn es in einer Datei RAR-Header-gesehen hat. Da die AVs sowas normalerweise nicht machen, sollte man ne mail an die Entwickler schreiben. Fragen ist ja nicht verboten :P


War ja klar, dass jemand "Linux" reinruft xD. Der Allround-Problem-Löser muss wohl immer rein^^.
p.S: wenn ich irgendwo offensiv wurde, sorry. Bin müde un hab kaböx nochma drüberzugehen