本文將介紹資訊保護的概念以及資訊偽裝的相關技術類型,如合併編碼和影像資訊隱藏的方法:空間域、壓縮域及頻率域的資訊隱藏。也將說明檔案編碼中標頭的功能,如識別檔案類型大小等,並介紹其可被用於傳送秘密資訊的原理,亦即資料隱藏於檔案編碼結尾後的磁區剩餘空間。另外,也會介紹網路上常見的資訊偽裝軟體BDBZM的操作方式,並引用範例作為實務上應用的參考,以還原關鍵性數位證據、釐清真相。
頻率域資訊隱藏
利用頻率域的方式來達到資訊隱藏的目的,其主要是把空間域中各影像的像素值轉換成頻率域內的係數,再將秘密訊息加入所選定的係數中。
通常高頻域的係數容易受到相關的圖片壓縮技術影響而產生誤差,而低頻域的係數則對像素質的表現影響較大,因此於實作上會將域隱藏的機密資訊藏於中頻域的區段內,一來可以避免圖片壓縮技術所造成的誤差,二來也不會對於原始圖片檔造成太大的差異。
了解檔案標頭
在電腦世界中,全部都是由0與1所組成,然而電腦如何判斷其所代表的涵義為何,以及該如何正確地去開啟該檔呢?
如果不是以正確的程式軟體去開啟相對應的檔案,則可能會導致無法開啟或是呈現無法辨別的亂碼,因此電腦系統內設有判別的方式,那就是透過「檔案標頭」來加以辨別。
各類型的檔案都有自己專屬的「檔案標頭」與「檔案結尾」,應用程式也都是根據所判別之結果來做相對應的開啟,以下利用圖4~5說明。
 |
| ▲圖4 JPG圖檔之特殊標頭及結尾編碼。 |
 |
| ▲圖5 RAR壓縮檔之特殊標頭及結尾編碼。 |
透過WinHex等檢視編輯軟體,可以得知JPG圖檔中標頭的特殊編碼為「4A 46 49 46」,而其相對應的結尾編碼為「FF D9」,RAR壓縮檔中標頭的特殊編碼為「52 61 72」,其相對應的結尾編碼則為「C4 3D 7B 00 40 07 00」。從上述得知,可以由這些象徵該類檔案的特殊編碼了解到一個檔案的起始及結束,而其中的編碼即為該檔案之本體。
綜上所述,可以藉由檢視檔案之原始編碼值來判定該類檔案應由何種應用程式軟體來開啟,同樣地,也能夠藉此查探出該檔案是否於檔案編碼結尾後,仍存有其他不屬於檔案本身之編碼資訊,藉以判別是否隱藏有機密資訊。
認識偽裝軟體
以下大略說明偽裝軟體實際上是如何運作的,然後講解BDBZM工具程式的操作流程。
偽裝軟體運作原理
針對偽裝軟體,目前網路上有相當多的工具程式可供下載使用,如Jpg+FileBinder、File Camouflage、愛的機器、BDBZM等。
這些工具軟體有些是由軟體公司所開發的試用程式,有些是由業餘電腦玩家自行設計的自製程式,但因為免費、易流通的特性,導致其往往成為被非法者利用以達成其非法活動之目的的工具。
因此,這裡將介紹一款網路上相當容易取得且使用人數眾多的偽裝軟體「BDBZM」,藉由分析其運作的過程與原理,以了解相關犯罪的流程及手段。
「BDBZM」主要功能包括分割、偽裝、結合等,其介面圖示分別如圖6~8所示,「分割」是指會將大檔案裁切成適當的大小以放入欲進行偽裝的圖像檔內;「偽裝」是指將欲隱藏的資訊以某些方式藏入圖像檔內,讓不知情之人以為僅是單純的圖像檔;「結合」也提供了反轉分割偽裝的功能,可將偽裝圖檔中的隱藏資訊擷取出來,並且還原成原始檔案。
 |
| ▲圖6 BDBZM軟體之分割使用介面。 |
 |
| ▲圖7 BDBZM軟體之結合使用介面。 |
 |
| ▲圖8 BDBZM軟體之設定使用介面。 |