◆吳文燦 張 鵬 麥永浩（通訊作者）

（湖北警官學(xué)院 湖北 430034）

0 引言

面對管理日趨嚴格的網(wǎng)絡(luò)環(huán)境，犯罪分子的犯罪手段也越來越隱蔽，他們善于利用網(wǎng)絡(luò)上一些信息隱藏工具，把犯罪信息隱藏起來或者進行加密，這就使偵辦案件的人員不能夠輕易地發(fā)現(xiàn)犯罪痕跡，給破案增加了難度。因此，對于取證的人員來說，發(fā)現(xiàn)隱藏的犯罪信息變得非常重要，判斷某一個或某幾個文件是普通文件，還是經(jīng)過加密或修改了的“犯罪文件”，以及如何破解加密文件和發(fā)現(xiàn)文件哪一部分被修改的，就變得至關(guān)重要了。

在司法鑒定中隱寫分析的最終目標，是為了提取出秘密信息作為呈堂證據(jù)[1]，在進行數(shù)據(jù)取證時，取證人員往往需要運用多種隱寫檢測方法，多數(shù)情況下檢測分析對象也是不確定的，因此，高效、準確地實現(xiàn)數(shù)字取證隱寫分析已成為一個亟待解決的問題。本文對幾種常見的信息隱藏技術(shù)進行了分類，并給出了相應(yīng)的解決方案。

1 更改文件拓展名

在反取證手段中最常見的一種就是用過更改文件拓展名來隱藏犯罪信息，這一方式操作簡單，且不易被察覺，僅僅通過一般的取證手段是很難發(fā)現(xiàn)此類被修改的文件?！案奈募卣姑鳖櫭剂x就是把本來屬于某一文件的格式，通過修改其拓展名轉(zhuǎn)換成另一種格式。比如：某一文件原來是“.doc”，修改拓展名后變?yōu)椤?dll”，如此一來，文件的格式就變的跟之前毫無關(guān)聯(lián)，犯罪信息也就被隱藏起來，如果辦案人員只針對“.doc”的文件進行查找，必定不會有任何結(jié)果。

可以明顯的看到，修改之后除了文件的圖標發(fā)生改變之外，文件的大小、占用空間、創(chuàng)建時間、修改時間、訪問時間等屬性信息都沒有發(fā)生變化。所以這種更改方式只是給文件換了一個外殼，文件內(nèi)容并沒有發(fā)生變化。針對這一情況，我們可以通過查看文件頭的內(nèi)容對文件拓展名是否修改進行判斷。下面是通過WinHex查看該文件內(nèi)容的結(jié)果：

圖1 原文件

修改后：

圖2 修改后的文件

圖3 用WinHex查看“.doc”文件

圖4 用WinHex查看“.dll”文件

通過兩張圖片的對比可以發(fā)現(xiàn)，不管文件拓展名被修改成什么樣子，文件頭的內(nèi)容是不會被修改的，通過查看文件頭就能知道，此文件原來是屬于何種類型的，是否被修改。

2 文件加密

文件加密技術(shù)是一種在操作系統(tǒng)級自動加密寫入存儲介質(zhì)的數(shù)據(jù)的技術(shù)。文件加密按加密方法可分為兩類：一類是Windows系統(tǒng)的文件加密功能，另一類是商業(yè)加密軟件實現(xiàn)的加密算法[2]。Windows系統(tǒng)有五種加密方法，商業(yè)加密軟件分為驅(qū)動級加密和插件級加密；加密算法可分為三類：IDEA算法、RSA算法、AES算法。

2.1 Windows系統(tǒng)的文件加密功能

在Windows系統(tǒng)的文件加密功能是系統(tǒng)自帶的，即不需要連接外網(wǎng)，也不需要使用專業(yè)的軟件工具就能對文件加密。目前最常用的有兩種加密方式，一種是普通的加密方式，另一種是限制其他用戶訪問的方式，無論哪一種方式，其目的都是為了讓除了使用這臺電腦的人，其他用戶都無法訪問該文件，換句話說就是文件加密后，在本機上打開文件不需要輸入密碼，但是當(dāng)把該文件拷貝到另一臺設(shè)備時，設(shè)備是無法訪問該加密文件的。具體的操作方式在網(wǎng)上中有詳細的介紹，可自行搜索。

Windows系統(tǒng)自帶的加密方式雖然操作方便，實用性強，但是其保密性不高，容易破解，每種加密方式都可以找到對應(yīng)的解密方式，而且都是公開的。還有一種情況是，由于在本機上打開該加密文件不需要輸入密碼，因此可以使用仿真系統(tǒng)運行該硬盤的鏡像，找到目標文件即可，不需要花費時間去破解加密文件。

2.2 軟件加密

除了Windows系統(tǒng)自帶的加密方式可以加密文件之外，還有使用第三方軟件對文件進行加密的加密途徑，目前該類軟件層出不窮，但歸根結(jié)底主要有三種加密算法：IDEA 算法、RSA算法、AES算法。

2.2.1 IDEA算法

IDEA（International Data Encryption Algorithm）,IDEA加密算法是一種長度為64位的分組密碼算法。密鑰長度為128位，并由8輪迭代操作實現(xiàn)。與DES類似，IDEA算法是一種分組加密算法，它設(shè)計了一系列加密輪，每一輪加密都使用一個子密鑰從密鑰中生成完整的加密密鑰[3]。整個算法包括密鑰生成、數(shù)據(jù)加密和數(shù)據(jù)解密三部分。加密算法指定明文和密文塊為64位，密鑰長度為128位。加密和解密是一樣的，但密鑰是不同的。

加密過程。輸入明文是8個字符（即，64位）。64位的數(shù)據(jù)塊被分成四個子塊X1、X2、X3和X4，每個都是16位。這4個區(qū)塊將是輸入的第一次迭代，所有的8輪迭代。在每一輪中，4個子塊是互斥的，添加和相乘，并且是不同的或添加和乘以與6位16子密鑰。最后，在輸出變換，4個子塊的操作與4個子鍵。加密過程如圖5所示。

圖5 IDEA算法加密過程

解密過程。像加密密鑰一樣，解密密鑰需要擴展。不同的是，解密密鑰由密鑰，此外，逆或乘法的逆運算，和他們一一對應(yīng)。IDEA加密算法的解密過程與加密過程中，加密密鑰是加密，解密的密鑰用于解密。輸入密文也是8個字符（64位）。64位的數(shù)據(jù)塊被分成四個子塊，Y1，Y3，Y4和Y2，每個都是16位。這4個區(qū)塊將是輸入的第一次迭代，所有的8輪迭代。解密過程如圖6所示。

圖6 IDEA算法解密過程

IDEA算法加密、解密速度快，算法公開，它比傳統(tǒng)的DES算法相對安全一些。

2.2.2 RSA算法

RSA算法屬于公鑰密碼體制，即加密密鑰與解密密鑰兩者之間是無法互相推導(dǎo)出來的，這就消除了通信雙方需要交換密鑰的麻煩，公鑰、加密方式、解密方式都是公開的，唯獨私鑰是保密的。RSA是目前研究最為廣泛的公鑰算法。它已被測試了30年以上的各種攻擊，因為它向公眾介紹。它被公認為是最好的公鑰方案之一。

密鑰產(chǎn)生。RSA算法最終會產(chǎn)生兩個密鑰，一個公鑰PU，一個私鑰PR。

（1）選擇p，q，p和q都是質(zhì)數(shù)，p≠q;

（2）計算n = p*q;

（3）計算N = (p-1)(q-1);

（4）選擇整數(shù)e，gcd(N，e) = 1；1 < e < N;

（5）計算d，d ≡ e-1(mod N);

（6）公鑰為 PU = {e，n}；私鑰 PR = {d，n};

（7）公鑰給甲方，私鑰給乙方[4]。

加密過程。假設(shè)甲方想給乙方發(fā)送一條明文消息，記作m，甲方已知乙方有私鑰。甲方使用起先與乙方約好的格式將m轉(zhuǎn)換為一個小于n的整數(shù)M。假如信息非常長的話，可以將這個信息分為幾段，然后將每一段轉(zhuǎn)換為 M，總之每一段明文 M都要小于n。用下面這個公式甲方可以將M加密為密文C：

C = Me（mod n）

解密過程。明文M = Cd（mod n）

整個算法中兩個質(zhì)數(shù)p和q以及私鑰中的整數(shù)d是要保密的，RSA算法的安全性原理就是認為將任意的兩個大素數(shù)的乘積再分解為兩個大素數(shù)是極其困難的[5]。

2.2.3 AES算法

AES（Advanced Encryption Standard）屬于對稱分組密碼算法，明文分組的長度為128位即16字節(jié)，密鑰長度可以為128，192或256位，其目的是取代原先的DES，目前已被廣泛地使用。與公鑰體制密碼（如：RSA）相比，AES以及大多數(shù)對稱密碼的結(jié)構(gòu)都很復(fù)雜，下圖是AES加密與解密過程圖。

圖7 AES加密和解密

從圖中可以看出加密和解密過程中，共經(jīng)過10輪，每一輪由四個不同階段組成：字節(jié)代替，行移位，列混淆，輪密鑰加。其中第10輪不包含列混淆這個階段。

與DES和RSA加密算法相比，AES加密算法具有加密速度快、加密強度高、不占用硬件資源等優(yōu)點。

除了上述三中加密算法之外，還有一些軟件沒有對文件內(nèi)容進行加密，只是簡單地設(shè)置了訪問密碼，位數(shù)最高的可達到200位。

綜上所述，想要破解IDEA算法，關(guān)鍵是找到其所用128位的密鑰，通過乘法逆或加法逆運算計算出解密密鑰；想要破解RSA算法，關(guān)鍵是找到兩個質(zhì)數(shù)p和q，通過p和q可以計算出其他的元素；想要破解AES算法，關(guān)鍵是找到128位的拓展密鑰。如果這些關(guān)鍵信息沒有的話，通常使用暴力破解法，不過這對于計算機的性能以及運算速度是要求很高的，普通的家庭計算機難以勝任。

3 虛擬磁盤

虛擬磁盤就是用內(nèi)存資源虛擬出一個或者多個磁盤的技術(shù)。虛擬磁盤由于是從內(nèi)存中分離出的一塊存儲空間，所以虛擬磁盤的運行速度是一邊硬盤的幾十倍，利用虛擬磁盤可以加快數(shù)據(jù)的傳輸。

虛擬磁盤創(chuàng)建成功后，再用Bitlocker進行加密，就可以達到加密文件的效果。

3.1 分區(qū)盤符加密：Bitlocker

Windows Bitlocker驅(qū)動器加密是Windows系統(tǒng)自帶的一種加密方式，是對系統(tǒng)中的分區(qū)進行加密，Bitlocker使用TMP保護計算機上用戶數(shù)據(jù)。并不是所有的 Windows操作系統(tǒng)都支持Bitlocker加密，只有在Windows Vista的Enterprise版和Ultimate版才能夠?qū)崿F(xiàn)。TMP是指符合可信賴平臺模塊標準的安全芯片，其具有加密解密的功能，并能完成高速數(shù)據(jù)的加密解密，以及充當(dāng)保護BIOS和操作系統(tǒng)不被修改的輔助處理器。

3.2 加密與解密

使用Bitlocker加密分區(qū)的方法，可自行搜索，加密完成后，當(dāng)計算機重新開機后，必須通過輸入密碼才能訪問次分區(qū)磁盤。對于安全性要求高的數(shù)據(jù)機密時，可以將密鑰文件保存在移動U盤上，這樣在每次重啟開機時，都必須將此U盤連接上才能訪問[7]。解除方面，對于Bitlocker加密功能的解除非常簡單，只需打開“控制面板-系統(tǒng)安全-管理Bitlocker”界面，單擊要解除功能的驅(qū)動器右側(cè)的“關(guān)閉Bitlocker”，再點擊“解密驅(qū)動器”，進入解密過程，等待解密完成即可。

圖8 Bitlocker驅(qū)動器加密界面

以上是對bitlocker加密原理的闡述，虛擬磁盤本身也有隱藏的技術(shù)，只要在磁盤管理器里將虛擬磁盤“脫機”出去，虛擬磁盤就在磁盤列表中“消失”了，當(dāng)需要訪問時，再點擊“聯(lián)機”就行了。

總之，虛擬磁盤的隱藏方式與Bitlocker加密方式相結(jié)合就能更好的對文件進行加密。目前對于 Bitlocker驅(qū)動器加密只有Fraunhofer SIT安全實驗室公開表示，他們能夠破解，但這并不表示Bitlocker已經(jīng)不安全了。

圖9 虛擬磁盤隱藏方式

如果犯罪分子把重要文件用此種方式加密隱藏，關(guān)鍵就要找到加密的密碼，或者加密的U盤，這就對進行現(xiàn)場勘查的人員有比較高的要求，不放過任何可能藏有密碼和小型存儲介質(zhì)的角落。

4 信息隱寫

信息隱寫是指把隱秘信息隱藏在大量的文件中，如：圖像、音頻、視頻等媒體文件中，僅靠人的感官是無法識別出來的一種隱藏信息的技術(shù)。在日常的通訊活動中，該方法已經(jīng)被使用了很多年，如今，有大量的軟件工具能幫助人們把重要信息隱藏在圖片文件、HTML網(wǎng)頁文件、DOC文件、以及其他文件中。

信息隱寫包含一下技術(shù)指標：不可見性，魯棒性，隱藏容量[8]。

不可見性是隱寫技術(shù)的基本要求，在秘密信息嵌入載體之后，必須保證不影響載體的（視）聽覺效果和性能規(guī)律，做到不易被察覺和觀測到。

魯棒性是隱寫技術(shù)的核心要求，一旦發(fā)現(xiàn)嵌入信息的存在性、檢測到嵌入信息的位置或者估計出密鑰，那么該隱寫系統(tǒng)就宣告失敗。一個具有較強魯棒性的隱寫系統(tǒng)才是好的隱寫系統(tǒng)。

隱藏容量是指在保證隱蔽性的前提下，盡可能多地嵌入秘密信息來進行信息的發(fā)送。

隱藏信息的方式無非兩種，一種是置換，另一種是填充。置換是指把原文件中的某一部分內(nèi)容改寫成不想讓人發(fā)現(xiàn)的信息，但不影響原文件的使用，或者是對原文件的修改無法被人的感官輕易地發(fā)現(xiàn)。填充是指在原文件的頭部或尾部寫入想要隱藏的信息，同樣對原文件的使用沒有影響。在文獻[9]中對音頻隱寫有詳細的說明。本文就圖片隱寫為例，說明圖片隱寫的相關(guān)技術(shù)。

4.1 填充

填充的方式非常簡單，不需要任何軟件工具的幫助，即可完成。這種方式的優(yōu)點在于操作簡單，填充文件大小不限，圖片文件不受損。缺點是文件大小可能會有改變，如果一個清晰度不高的圖片，大小卻是好幾M，就很容易被人發(fā)現(xiàn)。

填充之前的圖片為test.png如圖10所示。

圖10 test.png(原圖)

再創(chuàng)建一個.txt文檔，里面有需要傳遞的信息，如圖11所示。

圖11 test.txt

在命令提示符中輸入“copy test.png /b + test.txt new.png”，就會生成二者的合成文件new.png。

圖12 輸入命令

把new.png用記事本打開，會發(fā)現(xiàn).txt里的內(nèi)容已經(jīng)被填充在文件尾部，如圖13所示。

圖13 用記事本打開的結(jié)果

而new.png從表面上看起來與test.png一模一樣，都能正常的打開。

圖14 new.png

4.2 置換

最常用的置換方式是通過LSB進行的，LSB(Least Significant Bit)即最低有效位。原則是人的眼睛在像素的靈敏度，微妙的變化，利用R、G、B三種顏色的圖像隱藏的最低點，嵌入率為12.5%，是目前公認的大量的信息隱藏算法，而且算法簡單嵌入速度快[10]。世界上任何一種顏色都是由紅、綠、藍三原色組成的，所以在處理顏色問題時，全世界規(guī)定 RGB色彩模式作為統(tǒng)一的顏色標準。通過規(guī)定紅色（Red）、綠色（Green）、藍色（Blue）三色的顏色通道的變化，以及他們之間相互疊加的組合結(jié)果給每一種顏色標注了對應(yīng)的編號。紅、綠、藍的顏色通道各為256階亮度，“0”表示最弱，即“關(guān)燈”狀態(tài)，“255”表示最強，即最亮的狀態(tài)。

了解了LSB和RGB之后，舉一個例子來說明。表示單一的紅色，則把紅色的亮度調(diào)為255，轉(zhuǎn)為二進制就是11111111，藍色和綠色亮度調(diào)為0，轉(zhuǎn)為二進制就是00000000，三色疊加后結(jié)果還是紅色，現(xiàn)在想把字母“A”加到圖片當(dāng)中，“A”的 ASCII碼值是65，轉(zhuǎn)為二進制就是01000001，通過LSB轉(zhuǎn)換后，紅色的最后一位變成0，藍色和綠色的最后一位變成1，雖然有變化，但是對于人眼來說，想分辨這一點幾乎是不可能的。

圖15 變化前

圖16 變化后

這種置換的方式把信息隱藏的足夠安全，不僅沒有改變文件的大小，也沒有破壞原圖的內(nèi)容，就算是專業(yè)人士也很難判斷圖片中是否隱藏有關(guān)鍵信息。缺點是一張圖片可隱藏的信息有限，而且提取隱藏的信息比較麻煩，需要使用專業(yè)的軟件工具。

在遇到這一類問題時，首先要判斷的是嫌疑人是否使用了這種隱寫技術(shù)，那就需要查看計算機上的應(yīng)用程序，嫌疑人是否使用了，或曾經(jīng)使用過該類的軟件工具，如果使用過，則從該軟件入手，分析該軟件的數(shù)據(jù)，再進一步找到目標圖片。此類技術(shù)的實現(xiàn)一定需借助專業(yè)工具，所以從軟件層面著手分析是可行的。

5 總結(jié)

本文對幾種常見的反取證手段進行了闡述，從原理出發(fā)，根據(jù)不同的原理，提出針對性的應(yīng)對措施，辦案人員在處理此類案件時需找到病因，對癥下藥，否則可能遺漏關(guān)鍵信息，導(dǎo)致案件偵辦過程停滯不前，貽誤最佳破案時機。還有其他的手段本文沒有提及到，日后可做進一步研究。

[1]姚秋鳳，麥永浩，吳燕波.面向數(shù)字取證的異常隱寫檢測分析方法及系統(tǒng)研究[J].湖北警官學(xué)院學(xué)報，2015.

[2]http://baike.baidu.com/link?url=cnyAWukOQe3hQkc9q Dxar2AZ7ItqjIAnByJcY0pHNnKu3TA2Nu0AdsMO8ByvKyTeC hveUQN7gubQyoi4C2KcoAHaO7J3PgSVnE2F9r6P4ZDjODaLl kRAalZj3txhAWvY#4.

[3]http://www.jiamisoft.com/blog/index.php/5806-eccjiami suanfamangqianming.html.

[4]William Stallings.Cryptography and Network Security[M].北京：電子工業(yè)出版社，2012.

[5]程曉榮，馬力，何壯壯.公鑰RSA加密算法的分析與改進[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[6]http://baike.baidu.com/link?url=cnyAWukOQe3hQkc9q Dxar2AZ7ItqjIAnByJcY0pHNnKu3TA2Nu0AdsMO8ByvKyTeC hveUQN7gubQyoi4C2KcoAHaO7J3PgSVnE2F9r6P4ZDjODaLl kRAalZj3txhAWvY#4.

[7]周泰來.電子文檔的加密安全產(chǎn)品分析[J].設(shè)備管理與維修，2015.

[8]侯瑜.圖像隱寫分析[D].北京交通大學(xué)，2015.

[9]孫冉，王讓定，嚴迪群，金超.一種以VBR MP3音頻為載體的隱寫方法[J].無線電通信技術(shù)，2015.

[10]張艷玲，王允鋒.混沌序列增強LSB圖像隱藏算法的魯棒性分析[J].西安工業(yè)大學(xué)學(xué)報，2015.