Security Professionals - ipfw add deny all from eindgebruikers to any

File segmentation

02-01-2010, 18:18 door Anoniem, 26 reacties
Ik ben op zoek naar informatie ontremd het begrip File segmentation, dit in verband met het verbergen van gegevens.
Het is een opdracht die ik dien uit te voeren voor de studie waar ik mee bezig ben en tot op heden kom ik vrij weinig dan wel niets tegen met betrekking tot het verbergen van gegevens en dit onderwerp. Is er hier misschien iemand die hier meer kaas van heeft gegeten?

Thanks!
Reacties (26)
02-01-2010, 22:56 door dim
Segmentation? Bedoel je niet steganografie of iets dergelijks? :)
03-01-2010, 01:49 door [Account Verwijderd]
[Verwijderd]
03-01-2010, 14:24 door Anoniem
Nee, geen steganografie en ook geen slack space. Voor zover ik nu weet is segmentation het opdelen van bestanden in losse delen om ervoor te zorgen dat deze niet snel als één geheel gevonden kunnen worden. Mogelijke plekken om dan een bestand te verstoppen zijn inderdaad zaken zoals slackspace, in bestanden zelf dmv steganografie of als binaire content in het register.. Maar mij is het tot op heden niet duidelijk hoe ik deze handelingen nou uitvoer? dus om een bestand op te delen in meerdere schijfjes als het ware.
03-01-2010, 21:59 door [Account Verwijderd]
[Verwijderd]
03-01-2010, 22:54 door [Account Verwijderd]
[Verwijderd]
04-01-2010, 11:39 door [Account Verwijderd]
[Verwijderd]
04-01-2010, 14:01 door Anoniem
RAID LEVELING?
neem bijvoorbeeld raid 5
Die deelt data op en verdeelt deze over meerdere schijven/segmenten
04-01-2010, 15:32 door ej__
Kijk eens bij het filesystem XFS. Dat gebruikt 64 bit indices, bij weggooien van een bestand wordt het als onmogelijk gezien het bestand nog terug te halen. ZFS is daarin nog een graadje erger.

Bestanden worden in blokken op een disk gezet (meestal blokjes van 4k, op de disk blokjes van 512 bytes), de index naar deze blokken is de adressering. Als deze adressering inderdaad bestaat uit 64 bit pointers... dan wens ik je veel succes met terughalen van data.

Wikipedia vertelt je er vast meer over. :)

EJ
04-01-2010, 15:52 door [Account Verwijderd]
[Verwijderd]
05-01-2010, 00:42 door [Account Verwijderd]
[Verwijderd]
05-01-2010, 07:29 door bernd
volgens mij zoek je hiernaar: wikipedia - http://en.wikipedia.org/wiki/Computer_virus

Some viruses can infect files without increasing their sizes or damaging the files. They accomplish this by overwriting unused areas of executable files. These are called cavity viruses. For example, the CIH virus, or Chernobyl Virus, infects Portable Executable files. Because those files have many empty gaps, the virus, which was 1 KB in length, did not add to the size of the file.
05-01-2010, 08:54 door Anoniem
Jongens,

alvast bedankt voor de vele tips! hier heb ik zeker wat aan (veel uitzoekwerk haha!).
Ik zal nog even toelichten waarom ik deze techniek dien toe te passen. Mijn opleiding houd zich voornamelijk bezig met het uitvoeren van digitaal onderzoek, en daarom dienen wij dus ook te leren hoe criminelen dus hun data kunnen verstoppen, zodat het moeilijk wordt voor de onderzoeker om deze terug te vinden. Nu heb ik voor de desbetreffende opdracht al meer punten onderzocht, zoals bijvoorbeeld file binding en dat soort zaken.. maar nu dien ik dus een onderzoek in te stellen naar segmentation, zoals al duidelijk was. Ik wil het natuurlijk niet zo eenvoudig maken als bijvoorbeeld het commando split in linux, daardoor zou het namelijk te makkelijk zijn om terug te vinden. Dus de reactie van drroogte staat me wel aan, alleen heb ik dit soort zaken nog nooit uitgevoerd dus weet ik ook bij god niet hoe ik te werk moet gaan met het aangeven van een end of file en jumpinstructies. Dus als iemand me daar meer over zou kunnen vertellen ben ik alweer een eindje op weg! :)
05-01-2010, 19:46 door [Account Verwijderd]
[Verwijderd]
05-01-2010, 19:53 door [Account Verwijderd]
[Verwijderd]
05-01-2010, 22:53 door [Account Verwijderd]
[Verwijderd]
05-01-2010, 23:24 door [Account Verwijderd]
[Verwijderd]
06-01-2010, 09:32 door [Account Verwijderd]
[Verwijderd]
06-01-2010, 10:26 door bernd
de belangrijkste term ben je inderdaad al tegengekomen, de techniek heet steganography http://en.wikipedia.org/wiki/Steganography. De uitdaging die je zoekt is afhankelijk van het bestandssysteem en de blockgrootte. Als je in de slackspace (resterende blockruimte als niet het hele block in gebruik is) iets wilt opslaan zonder dat het OS daarvan bewust is, gaat deze verborgen informatie bij de eerste defragmentatie of wijziging van het hostbestand verloren.

een makkelijkere oplossing is het schrijven van een bestand en dat weer weggooien. met file recovery tools is het bestand weer terug te halen. de levensduur hiervan is op flash media langer, omdat deze in de meeste gevallen de geheugenblocks die het langst geleden gewist zijn gebruikt.
06-01-2010, 11:34 door ej__
Door NielsT:
Door drroogte:
Waarvan acte; eens kijken wat de auteur van deze thread, bovenstaand heb ik ook aan collega laten lezen; ook deze reageerde niet zoals u. Deze heeft bovenstaande inleiding gevolgd.

(volgens mij ken ik u van een ander board, goed te weten)

Dan ligt het toch aan mij denk ik :-)

Nee hoor, niet alleen aan jou. Ik kan er ook geen chocola van maken. :) Ben toch redelijk thuis in forensische techniek maar hier kan ik helemaal niets mee.

EJ
06-01-2010, 15:17 door M_iky
Om even Bernd bij te springen hier : [http://www.wetstonetech.com/technicalpapers.html]
een aantal interressante pdf's waar er meer uitleg gegeven wordt over steganography.

BTW in pdf-kes kan je ook een hoop troep verbergen wat wel de laatste jaren gebleken is :-).
06-01-2010, 15:19 door [Account Verwijderd]
[Verwijderd]
07-01-2010, 13:19 door [Account Verwijderd]
[Verwijderd]
07-01-2010, 14:07 door Anoniem
Nee hoor, Het hoeft niet vervoerbaar te zijn. Het belangrijkste is dat het bestand opgedeeld wordt in losse segmenten en deze vervolgens worden verstopt binnen het bestandsysteem.
07-01-2010, 19:43 door bernd
mijn theorie:
combineer de data die je wilt verstoppen met twee of meer willekeurige kleine bestanden die minder dan een block aan ruimte gebruiken of zeer gefragmenteerd zijn, zodat ze meerdere blocks deels gebruiken. deze bestanden worden vervolgens gecombineerd met de te verstoppen data. Daarna is het geheel weg te schrijven op een laag niveau (zoals met dd). Om defragmentratie door het OS voor te zijn, markeer je de gebruikte blokken als bad blocks. Het voordeel: bij datacarving zal de gevonden data vervuild zijn met de willekeurige bestanden én het is nagenoeg onvindbaar... op de executable en de tempfiles na...

maar als je het makkelijk wilt houden, gebruik je de hidden volume optie van truecrypt. Deze is namelijk ook niet detecteerbaar
08-01-2010, 21:40 door Anoniem
Bedoel je misschien "alternate data streams" op ntfs volumes ?
Hiermee is het mogelijk data toe te voegen aan een bestand zonder dat de meeste programma's en tools dat kunnen zien.
Probeer het volgende maar eens:

1. Maak met kladbok een bestand aan, en noem het test.txt
2. Type op de commandline het volgende, "echo GEHEIM > test.txt:geheim.txt
3. open test.txt, je ziet hier alleen het originele bestand.
4. type nu "notepad test.txt:geheim.txt" je ziet nu GEHEIM staan.
5. Ook in de map waar test.txt staat is niets bijzonders te zien,(test.txt is ook niet groter geworden)
09-01-2010, 11:49 door Anoniem
Een ADS is echt totaal iets anders dan file segmentation hoor ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.