sergej.z, дело в том что я их легко обнаружу .... на многих программах у которых есть CRC проверка своего кода, пишут его в конец ...... можно записать в другое место, в серединку ;) .... вот что я имел ввиду .... а про то что там нет джампов я и сам знаю .... так же работают SFX модули архиваторов ....... глупо так стенографироваться ..... стенография превращается в криптографию, так как задача спрятать инфу так чтобы ее не выцарапали не выполняется ........
Добавлено @ 04:55
а если прятаемая инфа не шифруется, то это хренография

2Monty
Всё ясно! Мне просто был интересен сам факт добавления информации. Конечно стеганографией здесь и не пахнет.
"От криптографии стеганография отличается тем, что с помощью криптографии можно скрыть содержание сообщения, а, пользуясь стеганографией, можно скрыть само существование сообщения."

Ну в конец ехе, можно вписывать не только техт, но и графику. Задача обнаружения информации сводится к обнаружению таковой в графическом файле. При этом наличе "хвоста" ещё не будет говорить о наличии секретной информации.

2Urod
Ну если для диплома такой вариант исключить то возможно тебе поможет то факт, что в 32- битных приложениях можно заменять ресурсы(иконки, картинки итд) при помощи той же http://www.users.on.net/johnson/resourcehacker/.
Заменяй пожалуйста иконки на "стеганографированные".

Опять же универсально (для любого рода исполняемых файлов) эта задача ИМХО не может быть решена(кроме как записи в хвост). Возможно же написать свой компилер, создающий приложения без ресурсов.

Ещё к дипломной работе: Очень легко обнаружить добавленную информацию в ехе. Достаточно сравнить два файла побитно.

Цитата(sergej @ 19.4.2004, 21:19)

в 32- битных приложениях можно заменять ресурсы(иконки, картинки итд) при помощи той же http://www.users.on.net/johnson/resourcehacker/. Заменяй пожалуйста иконки на "стеганографированные"

Что за приложения? Похоже, я уже ни фига не опнимаю...
Речь идет о замене только части исполняемого файла (картинок, включенных в него)? Если да, то это оопять же сводится к графике (а это уже не то).

Какие-нибудь работы Куна кто-то может подсказать?

Цитата

Urod Что за приложения?

32-битные приложения это ехе файлы. Они могут содержать рессурсы(картинки), но если тебе графика всё равно не подойдёт, то выкинем это из головы.

Ещё раз по твоей дипломной:
Наличие информации в картинке не возможно доказать, если копии оригинала не существует.
Ну например я сфотал лес, закодил в фотку послание, а оригинал удалил. Кто сможет восстановить оригинал? Ведь никто этот лес так же сфотать не сможет.
Другое дело, если я возьму картинку из интернета, и запишу туда инфу. "Злоумышленник" без проблем определит наличие информации, если сравнит эти две картинки.

Примем во внимание теоретическую возможность применения стеганографии на ехе.
Получатся два пути:

• Первый: ехе создаёшь ты сама, модифицируешь, а оригинал удаляешь.
  В этом случае информацию можно было закодить до компиляции в исходном коде. Потом только сообщить её позицию в ехе файле.
• Второй:
  Ты берёшь существующий ехе, модифицируешь. Вот тут то от стеганографии остаётся только криптография, поскольку будет очень легко "выудить" посредством сравнения оригинала и твоего файла побитно. А о доказательства наличии инфы и говорить не приходится.

Теоретически можно изменить биты в ехе. Если комманда проверяет на & два константных числа. Можно у этих чисел пару бит поменять. Причём бит, изменяемый в первом числе должен быть изменён и во втором. Да поправят меня ассемблерщики! (кстати на ассемблерском форуме можешь задать такой вопрос. Они лучше в коммандах и ехе разбираются).

Удачи!
Сергей

Цитата(sergej @ 23.4.2004, 14:07)

[ Ты берёшь существующий ехе, модифицируешь. Вот тут то от стеганографии остаётся только криптография, поскольку будет очень легко "выудить" посредством сравнения оригинала и твоего файла побитно. А о доказательства наличии инфы и говорить не приходится. [/LIST] Теоретически можно изменить биты в ехе. Если комманда проверяет на & два константных числа. Можно у этих чисел пару бит поменять. Причём бит, изменяемый в первом числе должен быть изменён и во втором. Да поправят меня ассемблерщики! (кстати на ассемблерском форуме можешь задать такой вопрос. Они лучше в коммандах и ехе разбираются). Удачи! Сергей

Вот что-то второй способ мне не очень понятен. В exeшнике-то биты надо менять с умом, так, чтобы программа не перестала работать! И как ты предлагаешь это сделать.
И, у тебя нет примера по первому способу: с информацией, запрятанной в коде exe-программы, до и после компиляции. Так, случайно, вдруг ты этим увлекался. Было бы здорово!

Кроме того можно шифровать текст который есть в файле, но таким образом придется как то распозновать что текст а что код, хотя все равно обнаружат по размеру, если оригинал не удалишь...

Цитата(chipset @ 24.4.2004, 20:40)

Кроме того можно шифровать текст который есть в файле, но таким образом придется как то распозновать что текст а что код, хотя все равно обнаружат по размеру, если оригинал не удалишь...

Ну оригинал оригиналом - это 2-й аспект. Главное - это полноценное функционирование программы после вшивания в нее информации! Злоумышленник, просмотрев прогу, не должен ничего заподозрить, а если она будет битая, то тут все ясно! Есть ли какой-то конкретный МЕТОД вшивания информации в проги с сохранением функционирования проги? Вот, что мне надо. Типа, как метод незначащих бит у графики...

вот здесь кажется то что тебе нужно...

Мда, предзащита 7 мая, а у меня не густо по сути диплома . Ну да и фиг с ним, думаю, что-нибудь придумается!

"Более сложный механизм маскировки реализован создателем вируса Win95.CIH. Этот вирус внедряется в *.exe файл, используя особенности формата PE (Portable Executable), принятого в системе Windows начиная с Windows 95. В Windows исполнимый файл *.exe может содержать не только код, но и многочисленные дополнительные данные. Это пиктограммы, различные служебные данные и дополнительная информация, например, об экспортируемых и импортируемых функциях. Каждый вид данных, содержащихся в файле формата РЕ, это отдельный объект. Для хранения всех объектов файл формата РЕ разбивается на ряд секций фиксированного размера. Каждый объект начинается с новой секции. Если объект не занимает всего объема секции, то эта часть секции не используется. Поэтому в файле формата РЕ всегда достаточно свободного места/
Больше всего свободного места в первой секции, в которую записывается только заголовок файла (PE header). В эти свободные места можно упрятать достаточно много информации, и при этом размер файла не изменится и работоспособность файла не нарушится."

Есть ли у кого информация о мерах против таких программ-закладок?

--------------------------------------------------------------------------------------------------------------------------

Цитата

Вот что-то второй способ мне не очень понятен. В exeшнике-то биты надо менять с умом

Описанием вторго пути я хотел только привести аргумент против стеганографии в ехе файлах, оригиналы которых "злоумышленник" может получить. При этом возможность использования ехе как стегоконтейнера была чисто теоретической. Как я уже говорил извлечение информации это не проблема и осталось бы только "раскодировать" послание.

Добавить информацию на этапе компиляции однако не составит особого труда. Вот пример:

Код

int main() { char* stego="Cats don't like dogs. But cats like milk. One cat likes to hunt mouses, another one prefers to drink milk. But no dog likes mousehunting." return 1; }

(Я попробовал написать что нибудь толковое по англицкий, даже если это выглядит иначе.)
Скомпилируй сей исходник в ехе. Открой полученный ехе любым текстовым редактором. Как ты видишь массив лежит в файле "открытым текстом".
Теперь слова cats/catзаменяй на 1, а gog/dogs на 0.
Получим 10110 что обозначает число 22 в двоичной системе.
Но я думаю, что ты сама это знаешь.

Теперь по поводу изменения бит в существующем ехе.
Предположим в ехе находится текст (Что весьма вероятно).
Как мы поняли этот текст открытый. То есть функциональность файла при изменении техта в БОЛьШИНСТВЕ случаев не будет нарушена. Как ты изменить техт, тут уже от случая к случаю надо решать. Допустим вариант:
Вставлять орфографические ошибки. Звучиы грубо, но если ты навставляешь/постираешь запятых....
например говоришь, что предложение с одной запятой - 1, а без запятых - 0.
Самое главное, писать можно ТОЛьКО в техт.
-----------------------------------------------------------------------------------------------------------------------------------------------

Цитата

особенности формата PE (Portable Executable), принятого в системе Windows начиная с Windows 95

Как я и говорил, невозможно этого сделать для ЛЮБЫХ ехе/out.
То, что ты описала - частичный случай.

Есть несколько методов, которые достаточно сильно меняют внутренности exe файла, но при этом сохраняют его функциональность.
К несчатью, это не соответствует требованию стегонографии, что нехнакомый человек не должен догадаться, что данный обьект является стегоконтейнером.

Самый хороший метод по моему, это использование неявного контроля, для сокрытия части информации.

Вот ссылка на неплохой материал с описанием "Неявного самоконтроля" в программах.

Ребята (думаю, не оишиблась), ОГРОМНОЕ вам спасибо! Хотя мой препод сказал, что диплом неплохой, ваша помощь неоценима, т.к. такие штуки я обязательно включу в диплом!