Stego Workflow

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

A maioria dos problemas de stego é resolvida mais rapidamente por triagem sistemática do que tentando ferramentas aleatórias.

Fluxo principal

Lista de verificação rápida de triagem

O objetivo é responder a duas perguntas de forma eficiente:

  1. Qual é o contêiner/formato real?
  2. O payload está em metadata, appended bytes, embedded files ou content-level stego?

1) Identificar o container

file target
ls -lah target

Se file e a extensão discordarem, confie em file. Considere formatos comuns como contêineres quando apropriado (por exemplo, documentos OOXML são arquivos ZIP).

2) Procure por metadados e strings óbvias

exiftool target
strings -n 6 target | head
strings -n 6 target | tail

Tente várias codificações:

strings -e l -n 6 target | head
strings -e b -n 6 target | head

3) Verificar dados anexados / arquivos incorporados

binwalk target
binwalk -e target

Se a extração falhar mas assinaturas forem reportadas, carve manualmente offsets com dd e execute file novamente na região resultante.

4) Se for imagem

  • Inspecione anomalias: magick identify -verbose file
  • Se PNG/BMP, enumere bit-planes/LSB: zsteg -a file.png
  • Valide a estrutura PNG: pngcheck -v file.png
  • Use filtros visuais (Stegsolve / StegoVeritas) quando o conteúdo pode ser revelado por transformações de canal/plano

5) Se for áudio

  • Primeiro espectrograma (Sonic Visualiser)
  • Decodifique/inspecione streams: ffmpeg -v info -i file -f null -
  • Se o áudio se assemelhar a tons estruturados, teste decodificação DTMF

Ferramentas básicas

Estas detectam os casos de nível de container de alta frequência: metadata payloads, bytes anexados, e arquivos embedded disfarçados pela extensão.

Binwalk

binwalk file
binwalk -e file
binwalk --dd '.*' file

I don’t have access to external repositories from here. Please paste the contents of src/stego/workflow/README.md (or the specific text you want translated). I will then translate the relevant English to Portuguese following your rules.

foremost -i file

Exiftool / Exiv2

exiftool file
exiv2 file

Não encontrei o conteúdo do arquivo src/stego/workflow/README.md. Por favor cole aqui o conteúdo (ou envie o arquivo) para que eu possa traduzi-lo para português mantendo exatamente a sintaxe Markdown/HTML.

file file
strings -n 6 file

cmp

cmp original.jpg stego.jpg -b -l

Contêineres, dados anexados e truques polyglot

Muitos desafios de steganography são bytes extras após um arquivo válido, ou arquivos incorporados disfarçados por extensão.

Payloads anexados

Muitos formatos ignoram bytes finais. Um ZIP/PDF/script pode ser anexado a um contêiner de imagem/áudio.

Verificações rápidas:

binwalk file
tail -c 200 file | xxd

Se souber o offset, carve com dd:

dd if=file of=carved.bin bs=1 skip=<offset>
file carved.bin

Bytes mágicos

Quando file estiver confuso, procure por bytes mágicos com xxd e compare com assinaturas conhecidas:

xxd -g 1 -l 32 file

Zip disfarçado

Tente 7z e unzip mesmo se a extensão não indicar zip:

7z l file
unzip -l file

Estranhezas próximas ao stego

Links rápidos para padrões que aparecem regularmente adjacentes ao stego (QR-from-binary, braille, etc).

QR codes from binary

Se o tamanho do blob for um quadrado perfeito, pode ser pixels brutos de uma imagem/QR.

import math
math.isqrt(2500)  # 50

Auxiliar Binary-to-image:

Braille

Listas de referência

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks