隐写技巧——利用JPEG文件格式隐藏payload

0x00 前言

继续对图片隐写技巧的学习，这次是对JPEG文件格式的学习和理解。同PNG文件的格式对比，JPEG文件相对简单，读取其中隐藏payload的方式大同小异，两者区别在于文件格式不同，可供利用的细节存在差异。

本文相关工具：

• 16进制编辑器：Hex Editor
• 隐写检测：Stegdetect

下载地址：

https://github.com/abeluck/stegdetect

• 编辑Exit信息：MagicEXIF

下载地址：

http://www.magicexif.com/

• 分析JPEG图片格式：JPEGsnoop

下载地址：

http://www.impulseadventure.com/photo/jpeg-snoop.html

0x01 相关概念

JPEG文件

JPEG是Joint Photographic Experts Group(联合图像专家组)的缩写

1. 支持有陨压缩
2. 不支持透明
3. 不支持动画
4. 非矢量

JPEG同JPG的区别

1. JPEG既可作为扩展名，又能代表文件格式
2. JPG是JPEG的简写，代表扩展名
3. JPEG和JPG基本上是没有区别的，它们的格式也是通用的

色彩模型

采用YCrCb色彩模型，更适合图形压缩，而不是RGB

• Y表示亮度
• Cr表示红色分量
• Cb表示蓝色分量

人眼对图片上的亮度Y的变化远比色度C的变化敏感. 如果每个点保存一个8bit的亮度值Y, 每2×2个点保存一个CrCb值, 图象在肉眼中的感觉不会起太大的变化，而且节省一半的空间

• RGB模型4个点需要4×3=12字节
• YCrCb模型4个点需要4+2=6字节

[R G B] -> [Y Cb Cr] 转换：

Y = 0.299R + 0.587G + 0.114*B
Cb = - 0.1687R - 0.3313G + 0.5 *B + 128
Cr = 0.5 R - 0.4187G - 0.0813*B + 128

[Y,Cb,Cr] -> [R,G,B] 转换：

R = Y + 1.402 *(Cr-128)
G = Y - 0.34414(Cb-128) - 0.71414(Cr-128)
B = Y + 1.772 *(Cb-128)

文件格式

JPEG文件大体上可以分成两个部分：标记码和压缩数据

标记码：

由两个字节构成，第一个字节是固定值0xFF，后一个字节则根据不同意义有不同数值

在每个标记码之前可以添加数目不限的无意义的0xFF填充，连续的多个0xFF可以被理解为一个0xFF，并表示一个标记码的开始

常见的标记码：

• SOI 0xD8 图像开始
• APP0 0xE0 应用程序保留标记0
• APPn 0xE1 – 0xEF 应用程序保留标记n(n=1～15)
• DQT 0xDB 量化表(Define Quantization Table)
• SOF0 0xC0 帧开始(Start Of Frame)
• DHT 0xC4 定义Huffman表(Define Huffman Table)
• DRI 0XDD 定义差分编码累计复位的间隔(Define Restart Interval)
• SOS 0xDA 扫描开始(Start Of Scan)
• EOI 0xD9 图像结束

压缩数据：

前两个字节保存整个段的长度，包括这两个字节

注：

这个长度的表示方法按照高位在前，低位在后，与PNG文件的长度表示方法不同

例如长度是0x12AB，存储顺序为0x12，0xAB

Exif信息

Exif文件是JPEG文件的一种，遵从JPEG标准，只是在文件头信息中增加了拍摄信息和索引图

用相机拍出来的jpeg都会有这个信息

储存在APP1(0xFFE1)数据区中

接下来两字节保存APP1数据区(即Exif数据区)的大小

接着为Exif Header，固定结构：0x457869660000

后面为Exif的数据

• 查看Exif信息的工具：exiftool

下载地址：

https://github.com/alchemy-fr/exiftool

• 编辑Exit信息的工具：MagicEXIF

下载地址：

http://www.magicexif.com/

添加操作如图

0x02 常见隐写方法

• DCT加密
• LSB加密
• DCT LSB
• Average DCT
• High Capacity DCT
• High Capacity DCT – Algorithm

以上隐写方法引用自：

https://www.blackhat.com/docs/asia-14/materials/Ortiz/Asia-14-Ortiz-Advanced-JPEG-Steganography-And-Detection.pdf

目前已经有很多开源的工具能够实现以上高级的隐写方法

常见隐写工具：

• JSteg
• JPHide
• OutGuess
• Invisible Secrets
• F5
• appendX
• Camouflage

当然，对应的隐写检测工具也出现了很久

比如：Stegdetect

下载地址：

https://github.com/abeluck/stegdetect

0x03 利用JPEG文件格式隐藏Payload

接下来介绍在学习文件格式后产生的一些隐藏思路：

1、直接在尾部添加数据

如图，不会影响图片的正常浏览

2、插入自定义COM注释

COM注释为0xff和0xfe

插入数据0x11111111

长度为0x04

总长度为0x06

完整的十六进制格式为0xffff000611111111

插入位置为DHT前面，如图

插入后如图，不影响图片的正常查看

将ff改为fe，如图，同样不影响图片的正常查看

3、插入可被忽略的标记码

原理同上，标志码换成可被忽略的特殊值

例如：

• 00
• 01 *TEM
• d0 *RST0
• dc DNL
• ef APP15

经测试以上标识码均不影响图片的正常查看

4、修改DQT

DQT: Define Quantization Table

标识码为0xdb

接下来两字节表示长度

接下来一字节表示QT设置信息

前4bit为QT号

后4bit为QT精度,0=8bit,否则为16bit

最后是QT信息，长度为64的整数倍

查看测试图片的DQT信息，如图

长度为0x43，十进制为67

00表示QT号为0，精度为8bit

接着64字节为QT信息字节

注：

此处DQT格式参考自http://www.opennet.ru/docs/formats/jpeg.txt

尝试将这64字节替换，如图

前后对比如图，能够发现图片的变化

如果仅仅是调整其中部分字节，改为payload，那么能有多大区别呢，对比如图

依次类推，可供修改的位置还有很多

0x04 检测和识别

对于以上的隐藏方法，借助jpeg图片格式分析工具就能发现其中的痕迹

比如JPEGsnoop

下载地址：

http://www.impulseadventure.com/photo/jpeg-snoop.html

支持如下文件的格式分析：

• .JPG – JPEG Still Photo
• .THM – Thumbnail for RAW Photo / Movie Files
• .AVI* – AVI Movies
• .DNG – Digital Negative RAW Photo
• .PSD – Adobe Photoshop files
• .CRW, .CR2, .NEF, .ORF, .PEF – RAW Photo
• .MOV* – QuickTime Movies, QTVR (Virtual Reality / 360 Panoramic)
• .PDF – Adobe PDF Documents

实际测试：

如下图，发现了图片中添加的COM注释

如下图，通过查看DQT的数据识别添加的payload，0x11对应的十进制为17

同样，JPEGsnoop能够解析jpeg图片的EXIF信息，如下图

注：

为便于测试，截图中的以下数值通过MagicEXIF软件手动添加：

EXIF Make/Model: OK [test] [???]
 EXIF Makernotes: NONE
 EXIF Software: OK [MagicEXIF Metadata Codec 1.02]

0x05 补充

相比于png文件，由于jpeg文件没有对图像数据的校验位，所以在jpeg文件中添加payload简单了很多

下载JPEG图片解析并执行payload的方法不再介绍

(可参照https://3gstudent.github.io/3gstudent.github.io/%E9%9A%90%E5%86%99%E6%8A%80%E5%B7%A7-%E5%88%A9%E7%94%A8PNG%E6%96%87%E4%BB%B6%E6%A0%BC%E5%BC%8F%E9%9A%90%E8%97%8FPayload/)

0x06 小结

本文对JPEG的格式进行介绍，着重分析如何根据JPEG的文件格式，利用特定标志码隐藏payload，这种方式虽然不会影响图片的正常浏览，但是借助于格式分析软件仍能够发现其中的细节。介绍JPEG格式的官方文档里面待学习的内容还有很多，认识越深，可供研究的技巧将会更多。