스테가노 & 디지털 포렌식 추가내용

       R               G              B

1비트 LSB   01010111    11010101    1011010     =>  101

2비트 LSB   01010111    11010101    1011010     =>  110110

랜덤한 색상을 선별해 기밀 메세지를 숨기는 기법

• Pseudo-random LSB 기법

• 원본 그림이 없을 경우 일반적인 분석기법으로는 탐지가 어려움

• Selected LSB
• RGB 중 하나를 선택하여 해당 색상에 기밀 메세지를 숨기는 방법

• Image Downgrading 
• 커버이미지의 하위 4비트를 기밀 메세지의 상위 4비트로 교체하는 기법
  

=> 은닉할 메세지가 어느정도 왜곡되어 전달되나 내용파악에 큰 문제가 없고, 

     커버미디어 용량의 거의 절반에 가까운 크기의 기밀 메세지를 은닉할수 있는 장점이 있다.

(그러나 의심받기 쉬워 자주 이용 X)

LSB 필터링

Enhanced LSB => 각 픽셀의 LSB가 1이면 255, 0이면 0으로 하는 기법

필터링 바이트 분포가 매우 랜덤하면 (0:1 = 50:50 / 0과 1의 비율 50:50)

특정파일을 삽이했다고 유추가능

Gray bit  :  각 픽셀의 RGB 색상이 같을 경우 검정색, 다른 경우 흰색으로 변환하는 GrayBit 기법

그 외에 특정색상(RGB)만 추출하는 기법, 색반전 기법 등이 존재

LSB 중 특정 오프넷 뒤에 파일을 숨겨놓은 스테가노그래피

=> 'LSB Slide 기법'

겉보기에는 같은 2개의 그림파일에서 Diffing을 통해 변조된 LSB값을 찾는 기법

=> 'Random LSB 기법'

디지털 포렌식 툴

• WinHex : 강력한 Hex 에디터 기능뿐만 아니라 디스크 분석, 파일시스템 템플릿, 파일 카빙 등을 제공하는 도구

• Photorec : 250개 이상의 매우 다양한 파일 시그니처를 가지고 있는 파일 카빙 도구 (이름 유추해볼때... 왠지 이미지파일에 해당되는듯)

• TrueCrypt :  가상의 디스크 이미지를 생성해주는 도구로, 다양한 암호화 옵션을 지원하며 모든 플랫폼에서 사용할 수 있다.

• FTK Imager : 디스크 / 메모리 이미징을 지원하는 디스크 분석 도구다.

• Volatility : 메모리 덤프 분석에 사용되는 파이썬 프레임워크로, 매우 다양한 플러그인을 지원해 현재 가장 널리 쓰이는 메모리 분석 도구