Скрытие путём фрагментации диска
В апреле 2011 появилась информация, что ряд пакистанских учёных из Национального университета науки и технологий в Исламабаде предлагают методику стеганографии, которая обеспечивает скрытие информации за счет использования специфических особенностей технологии записи данных на диск [14].
Известно, что файлы при записи на диск размещаются на свободных участках диска в виде фрагментов, которые не всегда располагаются друг за другом. Данный процесс известен как фрагментация файлов. Программное обеспечение, созданное пакистанскими учёными, позволяет сделать так, чтобы фрагменты файла располагались на диске не в произвольном, а в строго предусмотренном порядке, формируя своеобразный код. Фрагменты, расположенные рядом и фрагменты, удаленные друг от друга, соответствуют «единицам» и «нулям» двоичного кода скрываемого сообщения.
Все, что необходимо получателю диска – это название файла, в чьих фрагментах скрыто секретное сообщение, и приложение, которое используется для скрытия и извлечения данных.
Разработчики собираются распространять свой инструмент бесплатно и открыть исходный код программы для всех желающих.
«Непосвященные лица не будут знать, что рисунок фрагментации кластеров имеет значение, следовательно, не смогут расшифровать тайное послание», – объясняет один из разработчиков методики – Хасан Хан. Изобретатель утверждает, что предлагаемая технология позволит закодировать сообщение размером до 20 мегабайт на 160- гигабайтном портативном диске. Еще одним достоинством нового метода является возможность добавления скрываемой информации на заполненный носитель. Для этого приложению достаточно изменить порядок расположения фрагментов уже записанных на диск файлов.
Использование скрытых возможностей файловой системы
Существует группа методов скрытия информации с использованием недокументированных возможностей файловых систем. В частности, мы рассмотрим файловые системы FAT32 и NTFS.
Скрытие информации с использованием особенностей
Файловой системы FAT32
До сих пор многие Flash-накопители, емкостью до 4 Гб выпускаются с файловой системой FAT32, что позволяет утверждать об актуальности рассматриваемого ниже метода скрытия информации. Метод работает в операционных системах семейства Windows 98/2000/XP.
Суть метода:
1. Запустите на машите.
2. В интерфейсе командной строки перейдите в корневой раздел диска с файловой системой FAT32 (например, «E») и введите команду:
mkdir ...\(имя директории составляют три точки).
Команда должна успешно выполниться.
3. Обновите содержимое диска в Проводнике Windows («F5»), проверьте свойства диска. Ничего не изменилось.
4. В интерфейсе командной строки выполните команду dir. Вы увидите в списке каталогов папку с именем «..» (без кавычек).
В корневом каталоге такой директории быть не может, потому что она указывает на каталог выше уровнем, а корневой каталог итак находится на самом верху структуры каталогов (зайдите в любой каталог и введите dir - там вы эту директорию увидите, что вполне логично). В результате манипуляции мы получили каталог, который существует, но его не видят никакие файловые менеджеры, включая сам Проводник (увидеть его могут только программы напрямую работающие с жестким диском, например DiskEdit).
Простым копированием с использованием Проводника перенести в созданный каталог ничего не удастся. Для этих целей необходимо воспользоваться командой copy.
1. Создайте на диске «С» каталог «с:\1\». Скопируйте туда несколько файлов.
2. В интерфейсе командной строки выполните команду:
copy с:\1\*.* e:\...\*.*
3. Обновите содержимое диска «E» в Проводнике Windows, проверьте свойства диска. Свободное место на диске «E» уменьшилось на размер скопированных файлов.
Таким образом можно перенести все файлы, которые вы хотите спрятать в созданный каталог. Чтобы достать файлы из «невидимой» директории необходимо вновь воспользоваться командой copy и скопировать их в любой видимый каталог.
Удалить файлы оттуда тоже нельзя. Чтобы удалить файлы нужно удалить сам каталог. Для этого придется воспользоваться командой «rmdir ...\ /s» (Ключ /s указывает, что надо удалить каталог со всеми вложенными подкаталогами и файлами).
Скрытие информации с использованием особенностей
Файловой системы NTFS
Метод работает в операционных системах семейства Windows 2000/XP.
Суть метода:
1. Запустите на машите интерфейс командной строки.
2. В интерфейсе командной строки перейдите в любую директорию диска с файловой системой NTFS (например, «D:\1\»).
3. Введите команду: mkdir 123..\ (имя может быть любое, главное, чтобы оно было набрано в латинской раскладке клавиатуры, и в конце стояли две точки и слеш). Команда должна успешно выполниться.
Обновив содержимое диска в Проводнике Windows, вы обнаружите новую папку «123.». Попробуйте открыть эту папку.
Каталоги не могут заканчиваться на точку или пробел, поэтому, при попытке войти в него система выдаст ошибку. При этом работать с ним можно только используя команды DOS в интерфейсе командной строки.
1. Создайте в Проводнике Windows на диске «D» каталог «d:\2\», и скопируйте туда несколько файлов.
2. В интерфейсе командной строки выполните команду:
copy d:\2\*.* d:\1\123..\*.*
Если в Проводнике Windows проверить свойства папки «123.», то окажется, что её размер равен нулю.
Получить обратно файлы из этой папки можно так же, путем копирования через интерфейс командной строки в любую обычную папку, например, «d:\3\»:
copy d:\1\123..\*.* d:\3\*.*
Для удаления этой папки, в интерфейсе командной строки, находясь в директории «c:\1\», необходимо выполнить команду rmdir 123..\ /s . (Ключ /s указывает, что надо удалить каталог со всеми вложенными подкаталогами и файлами).