Win32Rootkit的进程隐藏检测技术
A c a d e m i c R e s e a r c h
学术研究
62
收稿日期:2008-09-17
作者简介:林卫亮,1982年生,硕士研究生,研究方向:网络攻击与防御;王轶骏,1980年生,讲师,研究方向:网络主动防御技术与操作系统安全机制;薛质,1971年生,教授,研究方向:计算机通信网、信息安全、网络安全攻防与评测。
林卫亮,王轶骏,薛质
(上海交通大学信息安全工程学院,上海 200240)
【摘 要】Rootkit是现今一种越来越流行的系统底层隐蔽机制及其相应的实现程序,能够让攻击者长期保持对系统的最高控制权限,其中,实现进程的隐藏是Rootkit的最常见功能之一。论文针对Win32 Rootkit的进程隐藏检测的若干技术方法进行了深入研究和实现,分析比较了各自的优缺点,并最终提出了这项技术在未来的展望。【关键词】Rootkit Win32;进程隐藏;检测
【中图分类号】TP309 【文献标识码】A 【文章编号】1009-8054(2009) 03-0062-02
Technology of Hidden Process Rootkit on Win32
LIN Wei-liang, WANG Yi-jun, XUE Zhi
(Information Security Engeneering School of Shanghai Jiaotong University, Shanghai 200240, China)
【Abstract 】Rootkit is a system layer hidden mechanism and implementation program and is becoming more and more popular. It is designed to take fundamental control of a computer system, without authorization by the system owners and legitimate managers. Concealing running processes is one of the Win32 Rootkit 's standard functions. In this paper, the techniques for detecting this kind of Win32 Rootkit, are studiues and implemented their advantages and disadvantages analyzed and compaired, Finally, some prospects for this technique are proposed.【Keywords 】Rootkit Win32; Concealing running processes; detection
Win32 Rootkit 的
进程隐藏检测技术
0 引言
现今,Rootkit是入侵者在侵入目标系统后用以长期隐蔽的重要技术,并能够使其保持目标系统上的最高权限,即传统意义上的“root”用户。Rootkit分为用户层Rootkit和内核层Rootkit,其中,基于内核层Rootkit技术的恶意代码凭借深入的底层隐蔽技术,能够躲避绝大多数防火墙的拦截以及杀毒软件的查杀,对计算机安全构成极大的威胁[1]。
本文针对目前流行的Win32 Rootkit的进程隐藏检测技术进行了深入研究和实现,并比较了各自的优缺点。
1 隐藏进程的检测技术
进程隐藏是Win32平台下Rootkit的标准功能,只要能检测出隐藏的进程,就很有可能会发现Win32 Rootkit。下面我们深入分析隐藏进程检测的几种方法。1.1 Klister技术
Klister技术基本的原理是通过线程分配器找到所有的线程结构ETHREAD,然后依次找到ETHREAD所对应的进程结构EPROCESS,最后合并结果,就可以得到系统中所有真实运行的进程的列表。经过实验,在Windows 2000系统中,我们可以检测到FU隐藏的进程,yyt_hac`sntRootkit1.2.2隐藏的进程RtKit.exe和hackerdefender1.0.0隐藏的进程hxdef100.exe。缺点是Klister
只能在Windows 2000系统中使用。如果自己实现了内核的线程调度,就可以躲过Klister的检测。PHIDE2 engine实现了这个调度方法躲过了Klister4.0的检测。1.2 挂钩SwapContext技术
由于Klister技术的局限性,Kkaslin提出了一种新的
信息安全与通信保密?2009.3
学术研究
A c a d e m i c R e s e a r c h
63
技术——挂钩SwapContext技术[2]。SwapContext函数位于Ntosknl.exe中,在每次线程切换的时候执行,只要挂钩这个函数,就可以得到每次线程调度时换进换出的线程的信息。通过在内存中搜索20个字节长的特征值来获取SwapContext函数的地址,在获得地址后,再利用Detour技术挂钩SwapContext函数。
经过实验,在Windows系统中能发现被Win32Rootkit隐藏的大部分进程。但缺点同Klister一样,如果Rootkit实现了内核的线程调度,也可以躲过swap_hook.sys的检测。1.3 遍历句柄表技术
Windows系统为了方便枚举进程,所有进程的句柄表之间通过LIST_ENTRY链接起来。通过寻找任意进程的句柄表,然后遍历句柄表的链表就可以标识出系统上的所有进程。另外一个可以获得几乎全部进程句柄的方式就是遍历CSRSS.EXE进程的句柄表[1],它拥有除Idle、System、SMSS.EXE、CSRSS.EXE 4个进程之外的所有进程的句柄。通过遍历CSRSS.EXE中的句柄并标志出它们所指代的进程,可以得到一个数据集合。这种方式的缺点是如果Rootkit把要隐藏的进程的句柄从HANDLE_TABLE中删除,将检测不到隐藏的进程。1.4 pspCidTable扫描技术
pspCidTable是内核未导出的HANDLE_TALBE结构,它也保存着所有进程和线程对象的句柄,只要能遍历pspCidTable句柄表,就可以遍历到系统的所有进程[3]。获得pspCidTable有2种方法,分别为:在PsLookupProcessByProcessId函数中搜索特征串定位pspCidTalbe;利用KDDEBUGGER_DATA32结构得到pspCidTable。在得到pspCidTable后,就可以通过ExEnumHandleTable或PsLookupProcessByProcessId来枚举进程。为了防止这些函数被hook,可以自己实现这些操作。
经过实验,在Windows XP和Server 2003系统下能够发现系统中所有的进程。著名的Rootkit检测软件Blacklight就是采用这种方法。这种技术方法的缺点与遍历句柄表一样,一旦Rootkit抹掉了pspCidTable,这种技术也就无效了。1.5 内存暴力搜索
在32位x86系统中,总的虚拟地址空间最大值为4GB,在默认情况下,Windows将从x80000000到xFFFFFFFF用作受保护的操作系统内存。内存的暴力搜索就是从系统内存x80000000开始搜索每个进程的EPROCESS结构,Windows创建一个进程,内核中就有一个EPROCESS对
象与之对应,每个Windows内核对象都由2部分组成:对象头和对象体。在对象头中存储着这个对象的类型信息,通过比较这个信息就可以判断当前的对象是否为进程类型[4]:
#define OBJECT_HEADER_SIZE 0x018#define OBJECT_TYPE_OFFSET 0x008
ObjectTypeAddress=pEProcess-OBJECT_HEADER_SIZE+OBJECT_TYPE_OFFSET
通过ObjectTypeAddress判断当前对象是否为进程对象,如果是,则输出该进程信息,包括EPROCESS地址、进程ID和进程名。经过实验,内存暴力搜索具有强大的功能。通过比较其输出和任务管理器查询到的进程,可以发现所有Win32 Rootkit隐藏的进程。目前还没有发现可以躲过内存暴力搜索的Win32 Rootkit。也就是说,内存暴力搜索可以检测出其他检测方法所不能检测出的Rootkit。
2 结语
通过对检测方法的研究和实现,我们发现目前在内核中利用Rootkit来隐藏进程越来越难。而且现行的很多Rootkit检测软件也在不断升级并采用多种检测方法,这样就会得出比较正确稳定的结果。
Rootkit和Anti Rootkit的发展是不断促进的过程。有人提出抹掉进程全部句柄和修改进程内核对象来躲避检测,这种方法实现起来有比较大的技术难度。针对这种方法,我们觉得基于资源申请的检测是一种比较好的检测方法,因为任何进程在系统中运行,总要申请资源,这些资源不仅包括CPU,还有内存申请、硬盘读写、网络端口等等,通过监控这些资源就会得到隐藏进程的信息。
参考文献
[1] Greg Hoglund,James Butler. Rootkit:Subverting
The Windows Kernel[M]. Addison WesleyProfessional,2006.
[2] Kimmo. Detecting Hidden Process by Hooking the
SwapContext Function[DB/OL]. https://www.Rootkit.com/newsread.php?newsid=170,AUG.2004.
[3] Jimhokin.Detection of Hidden Process[DB/OL].
https://www.Rootkit.com/newsread.php?newsid=434,JAN 2006.
[4] Russinovich E Mark,Solomon A D. 深入解析
Windows操作系统[M]. 4版.北京:电子工业出版社,2007.
NT内核级进程隐藏3-线程调度链表及Hook 内核函数
NT内核级进程隐藏3-线程调度链表及Hook内核函数 基于线程调度链表的检测和隐藏技术 1.什么是ETHREAD和KTHREAD块 学习各种外挂制作技术,马上去百度搜索"魔鬼作坊"点击第一个站进入、快速成为做挂达人。 Windows2000是由执行程序线程(ETHREAD)块表示的,ETHREAD成员都是指向的系统空间,进程环境块(TEB)除外。ETHREAD块中的第一个结构体就是内核线程(KTHREAD)块。在KTHREAD块中包含了windows2000内核需要访问的信息。这些信息用于执行线程的调度和同步正在运行的线程。 kd>!kthread struct_KTHREAD(sizeof=432) +000struct_DISPA TCHER_HEADER Header +010struct_LIST_ENTRY MutantListHead +018void*InitialStack +01c void*StackLimit +020void*Teb +024void*TlsArray +028void*KernelStack +02c byte DebugActive +02d byte State +02e byte Alerted[2] +030byte Iopl +031byte NpxState +032char Saturation
+033char Priority +034struct_KAPC_STATE ApcState +034struct_LIST_ENTRY ApcListHead[2] +044struct_KPROCESS*Process +04c uint32ContextSwitches +050int32WaitStatus +054byte WaitIrql +055char WaitMode +056byte WaitNext +057byte WaitReason +058struct_KWAIT_BLOCK*WaitBlockList +05c struct_LIST_ENTRY WaitListEntry +064uint32WaitTime +068char BasePriority +069byte DecrementCount +06a char PriorityDecrement +06b char Quantum +06c struct_KWAIT_BLOCK WaitBlock[4] +0cc void*LegoData +0d0uint32KernelApcDisable +0d4uint32UserAffinity +0d8byte SystemAffinityActive
教你安全用电脑 识别进程中的隐藏木马
任何病毒和木马存在于电脑系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看病毒进程隐藏三法,他就能告诉您。 当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 发现隐藏的木马进程直接手工删除病毒 一.以假乱真 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 常见系统进程解惑: 进程文件:svchost 或svchost.exe 进程描述:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。因为svchost进程启动各种服务,所
最新图像信息隐藏技术与设计 大学毕业设计
1 前言 本章主要介绍信息隐藏技术的背景和研究意义、国内外信息隐藏技术研究现状,列举了本文的主要研究内容,最后给出了全文的结构安排。 1.1 信息隐藏技术的背景和研究意义 二十世纪九十年代以来,网络信息技术在全世界范围内得到了迅猛发展,它极大地方便了人们之间的通信和交流。借助于计算机网络所提供的强大的多媒体通信功能,人们可以方便、快速地将数字信息(数字音乐、图像、影视等方面的作品)传到世界各地,一份电子邮件可以在瞬息问传遍全球。但同时计算机网络也成为犯罪集团、非法组织和有恶意的个人利用的工具。从恶意传播计算机病毒,到非法入侵要害部门信息系统,窃取重要机密甚至使系统瘫痪;从计算机金融犯罪,到利用表面无害的多媒体资料传递隐蔽的有害信息等等,对计算机信息系统进行恶意攻击的手段可谓层出不穷。 因此,在全球联网的形势下,网络信息安全非常重要,一个国家信息系统的失控和崩溃将导致整个国家经济瘫痪,进而影响到国家安全。各国政府和信息产业部门都非常重视网络信息安全的研究和应用。密码技术是信息安全技术领域的主要传统技术之一,是基于香农信息论及其密码学理论的技术,一般采用将明文加密成密文的秘密密钥系统或者公开密钥系统,其保护方式都是控制文件的存取,即将文件加密成密文,使非法用户不能解读。但加密技术主要适用于文本的加密,而对音频、视频、图像等多媒体数据类型来说,由于它们的数据量往往很大,如何对超大数据量的多媒体数据进行有效的加、解密仍是一个难题。而且信息加密是利用随机性来对抗密码攻击的,密文的随机性同时也暴露了消息的重要性,即使密码的强度足以使攻击者无法破解出明文,但他仍有足够的手段来对其进行破坏,使得合法的接收者也无法阅读信息内容。随着计算机性能的大幅度提高,软硬件技术的迅速发展,加密算法的安全性受到了严重挑战。 由于加密技术的局限性,最近十几年以来,一种新的信息安全技术——信息隐藏技术(Information Hiding)迅速地发展起来。信息隐藏的渊源可以追溯到古希
基于图像的信息隐藏检测技术
基于图像的信息隐藏检测技术 傅德胜,谢永华 (南京信息工程大学计算机与软件学院南京210044) 摘要:本文首先介绍了现有图像信息隐藏检测技术的分类,然后阐述了常用的基于图像的信息隐藏盲检测技术,并对它们的优缺点和应用领域进行了分析,最后对信息隐藏技术的发展和系统开发作了分析与展望。 关键词:信息隐藏;基于图像;盲检测 1 引言 现代信息隐藏技术自上个世纪九十年代中期出现以来,已经成为数字通信、信息安全和版权保护领域的重要研究课题,并得到了越来越广泛的应用。目前利用数字图像作为隐秘信息的载体已经成为主要的信息隐藏技术之一,其基本原理是利用人体感觉器官对数字图像的感觉冗余,将被隐藏的图像数据嵌入在某种载体图像中,嵌入后隐秘图像与原始的载体图像几乎没有任何视觉上的差别,很难被观察者和监视系统发现,从而可以保证机密信息传输的安全性。可以预见,信息隐藏技术将是今后相当一段时间内的重要的隐蔽通信方式[1] 。 但是信息隐藏技术的发展也带来了一定的负面效果,据美国媒体透露,已经发现恐怖组织利用隐藏在图像中的信息传递联络情报,甚至将计算机病毒隐藏在载体图像中进行传输,这些都对国家安全和社会稳定产生了很大的威胁。因此,研究对图像中可能存在的各种隐藏信息进行有效检测的方法已经迫在眉睫,因而基于图像的信息隐藏检测技术也就成为目前信息安全领域的重要研究课题。近几年来,世界各国的信息安全专家在这一方面进行了深入的研究,并提出了一定的隐藏信息检测模型,开发了相关的信息隐藏检测软件,如美国著名的信息安全产品开发公司Wetstone开发的信息隐藏检测软件Stego Suite[2] 。本文首先对目前常用的基于图像的信息隐藏技术进行了统计和分类,分析了它们的优缺点和适用领域,然后重点介绍了基于图像信息隐藏的盲检测算法,最后对隐藏技术的发展趋势和信息隐藏检测系统的开发进行了分析与展望。 2 基于图像的信息隐藏检测技术 图像信息隐藏检测技术主要用于判断图像中是否有隐藏信息的存在,它是信息隐藏分析技术的第一步,也是现阶段基于图像的隐藏信息分析的主要内容。 从检测技术的手段考虑,基于图像的信息隐藏检测技术大致可以分为: (1)对比检测技术 对比检测技术是对隐蔽图像载体和原始图像载体的属性如大小、分辨率、颜色值、灰度值、直方图或者变换域系数进行对比,从其中的差值或者关联信息中进行分析判断隐藏信息存在的可能性。这种方法实现比较简单,但是在大多数情况下,无法获取原始载体图像,因此没有太大的实际意义和应用价值。 (2)盲检测技术 盲检测技术指的是在没有原始载体图像的情况下,只通过隐蔽载体本身来检测隐藏信息。通常可以通过对图像特征进行分析和提取,判断是否存在隐藏信息。盲检测技术是当今信息隐藏检测领域最热门的研究领域,难度较大,但是具有更广泛的应用前景。 根据研究角度不同,基于图像的信息隐藏检测技术可以分为: (1)时空域方法
Win32Rootkit的进程隐藏检测技术
A c a d e m i c R e s e a r c h 学术研究 62 收稿日期:2008-09-17 作者简介:林卫亮,1982年生,硕士研究生,研究方向:网络攻击与防御;王轶骏,1980年生,讲师,研究方向:网络主动防御技术与操作系统安全机制;薛质,1971年生,教授,研究方向:计算机通信网、信息安全、网络安全攻防与评测。 林卫亮,王轶骏,薛质 (上海交通大学信息安全工程学院,上海 200240) 【摘 要】Rootkit是现今一种越来越流行的系统底层隐蔽机制及其相应的实现程序,能够让攻击者长期保持对系统的最高控制权限,其中,实现进程的隐藏是Rootkit的最常见功能之一。论文针对Win32 Rootkit的进程隐藏检测的若干技术方法进行了深入研究和实现,分析比较了各自的优缺点,并最终提出了这项技术在未来的展望。【关键词】Rootkit Win32;进程隐藏;检测 【中图分类号】TP309 【文献标识码】A 【文章编号】1009-8054(2009) 03-0062-02 Technology of Hidden Process Rootkit on Win32 LIN Wei-liang, WANG Yi-jun, XUE Zhi (Information Security Engeneering School of Shanghai Jiaotong University, Shanghai 200240, China) 【Abstract 】Rootkit is a system layer hidden mechanism and implementation program and is becoming more and more popular. It is designed to take fundamental control of a computer system, without authorization by the system owners and legitimate managers. Concealing running processes is one of the Win32 Rootkit 's standard functions. In this paper, the techniques for detecting this kind of Win32 Rootkit, are studiues and implemented their advantages and disadvantages analyzed and compaired, Finally, some prospects for this technique are proposed.【Keywords 】Rootkit Win32; Concealing running processes; detection Win32 Rootkit 的 进程隐藏检测技术 0 引言 现今,Rootkit是入侵者在侵入目标系统后用以长期隐蔽的重要技术,并能够使其保持目标系统上的最高权限,即传统意义上的“root”用户。Rootkit分为用户层Rootkit和内核层Rootkit,其中,基于内核层Rootkit技术的恶意代码凭借深入的底层隐蔽技术,能够躲避绝大多数防火墙的拦截以及杀毒软件的查杀,对计算机安全构成极大的威胁[1]。 本文针对目前流行的Win32 Rootkit的进程隐藏检测技术进行了深入研究和实现,并比较了各自的优缺点。 1 隐藏进程的检测技术 进程隐藏是Win32平台下Rootkit的标准功能,只要能检测出隐藏的进程,就很有可能会发现Win32 Rootkit。下面我们深入分析隐藏进程检测的几种方法。1.1 Klister技术 Klister技术基本的原理是通过线程分配器找到所有的线程结构ETHREAD,然后依次找到ETHREAD所对应的进程结构EPROCESS,最后合并结果,就可以得到系统中所有真实运行的进程的列表。经过实验,在Windows 2000系统中,我们可以检测到FU隐藏的进程,yyt_hac`sntRootkit1.2.2隐藏的进程RtKit.exe和hackerdefender1.0.0隐藏的进程hxdef100.exe。缺点是Klister 只能在Windows 2000系统中使用。如果自己实现了内核的线程调度,就可以躲过Klister的检测。PHIDE2 engine实现了这个调度方法躲过了Klister4.0的检测。1.2 挂钩SwapContext技术 由于Klister技术的局限性,Kkaslin提出了一种新的
木马的隐藏方式
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中木马的工作原理,木马查杀。-电脑维修知识网 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 2、隐藏在配置文件中木马的工作原理,木马查杀。-电脑维修知识网 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 3、潜伏在Win.ini中木马的工作原理,木马查杀。-电脑维修知识网 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 4、伪装在普通文件中木马的工作原理,木马查杀。-电脑维修知识网 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图
木马检测与防护技术的发展
Computer Science and Application 计算机科学与应用, 2015, 5(12), 429-435 Published Online December 2015 in Hans. https://www.360docs.net/doc/b013392852.html,/journal/csa https://www.360docs.net/doc/b013392852.html,/10.12677/csa.2015.512054 Study of Trojans Detection and Prevention Technology Shaohua Wu, Yong Hu College of Electronics and Information Engineering, Sichuan University, Chengdu Sichuan Received: Dec. 5th, 2015; accepted: Dec. 25th, 2015; published: Dec. 28th, 2015 Copyright ? 2015 by authors and Hans Publishers Inc. This work is licensed under the Creative Commons Attribution International License (CC BY). https://www.360docs.net/doc/b013392852.html,/licenses/by/4.0/ Abstract Based on reverse analysis of many current popular Windows’ Trojans behavior, the new technolo-gies used by Trojans were summarized, including program hidden, process hidden, communica-tion pattern and means to avoid killing. Combined with the current mainstream security software to detect the Trojan, some new technologies and opinions against the Trojan threat were present. Keywords Trojan, Masquerading Technology, Process Hidden, Communication Protocol, Avoid Killing, Trojan Detection 木马检测与防护技术的发展 吴少华,胡勇 四川大学电子信息学院,四川成都 收稿日期:2015年12月5日;录用日期:2015年12月25日;发布日期:2015年12月28日 摘要 通过对大量当前流行的windows木马程序进行逆向,分析木马在伪装技术、程序隐藏方式、进程隐藏方
《信息隐藏技术》复习资料
《信息隐藏技术》课程期末复习资料《信息隐藏技术》课程讲稿章节目录: 第1章概论 什么是信息隐藏 信息隐藏的历史回顾 技术性的隐写术 语言学中的隐写术 分类和发展现状 伪装式保密通信 数字水印 信息隐藏算法性能指标 第2章基础知识 人类听觉特点 语音产生的过程及其声学特性 语音信号产生的数字模型 听觉系统和语音感知
语音信号的统计特性 语音的质量评价 人类视觉特点与图像质量评价人类视觉特点 图像的质量评价 图像信号处理基础 图像的基本表示 常用图像处理方法 图像类型的相互转换 第3章信息隐藏基本原理 信息隐藏的概念 信息隐藏的分类 无密钥信息隐藏 私钥信息隐藏 公钥信息隐藏 信息隐藏的安全性
绝对安全性 秘密消息的检测 信息隐藏的鲁棒性 信息隐藏的通信模型 隐藏系统与通信系统的比较 信息隐藏通信模型分类 信息隐藏的应用 第4章音频信息隐藏 基本原理 音频信息隐藏 LSB音频隐藏算法 回声隐藏算法 简单扩频音频隐藏算法 扩展频谱技术 扩频信息隐藏模型 扩频信息隐藏应用
基于MP3的音频信息隐藏算法 MP3编码算法 MP3解码算法 基于MIDI信息隐藏 MIDI文件简介 MIDI数字水印算法原理 第5章图像信息隐藏 时域替换技术 流载体的LSB方法 伪随机置换 利用奇偶校验位 基于调色板的图像 基于量化编码的隐藏信息 在二值图像中隐藏信息 变换域技术 DCT域的信息隐藏
小波变换域的信息隐藏 第6章数字水印与版权保护 数字水印提出的背景 数字水印的定义 数字水印的分类 从水印的载体上分类 从外观上分类 从水印的加载方法上分类 从水印的检测方法上分类数字水印的性能评价 数字水印的应用现状和研究方向数字水印的应用 数字水印的研究方向 第7章数字水印技术 数字水印的形式和产生
在Delphi中隐藏程序进程的方法
在Delphi中隐藏程序进程方法[1] 主要需要解决两个问题,即隐藏窗口和设定热键。 一. 隐藏窗口 通过API函数GETACTIVEWINDOW获取当前窗口;函数ShowWindow(HWND,nCmdShow)的参数nCmdShow取SW_HIDE时将之隐藏,取SW_SHOW时将之显示。例如: showwindow(getactivewindow,sw_hide)。隐藏好窗体后,须记住窗体句柄以便恢复。二. 键盘监控 为了实现键盘监控须用到钩子。 以下是程序的源文件: 一、创建一个动态链接库 unit HKHide; //链接库中的Unit文件 interface uses Windows, Messages, sysutils; var hNextHookHide: HHook; HideSaveExit: Pointer; hbefore:longint; function KeyboardHookHandler(iCode: Integer;wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall; export; function EnableHideHook: BOOL; export; function DisableHideHook: BOOL; export; procedure HideHookExit; far; implementation function KeyboardHookHandler(iCode: Integer;wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall; export; const _KeyPressMask = $80000000; var f:textfile;
信息隐藏技术及其应用
qwertyuiopasdfghjklzxcvbnmqw ertyuiopasdfghjklzxcvbnmqwer tyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyui opasdfghjklzxcvbnmqwertyuiop 信息隐藏技术及其应用asdfghjklzxcvbnmqwertyuiopas dfghjklzxcvbnmqwertyuiopasdf ghjklzxcvbnmqwertyuiopasdfgh jklzxcvbnmqwertyuiopasdfghjkl zxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcv bnmqwertyuiopasdfghjklzxcvbn mqwertyuiopasdfghjklzxcvbnm qwertyuiopasdfghjklzxcvbnmqw ertyuiopasdfghjklzxcvbnmqwer tyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmrtyuiopas
信息隐藏技术及其应用 摘要随着网络与信息技术的高速发展,信息安全越来越受到人们关注,信息隐藏技术应运而生。本文介绍了信息隐藏技术的背景、概念与特征,总结了较为成熟与常见的信息隐藏方法,描述了信息隐藏技术的主要应用领域,分析了信息隐藏技术目前存在的问题,并对其未来发展进行了展望。 关键词信息隐藏;信息安全;隐秘通信;数字水印;应用; 一、信息隐藏技术的背景 信息隐藏的思想可以追溯到古代的隐写术。隐写术是通过某种方式将隐秘信息隐藏在其他信息中,从而保证隐秘信息的安全性。隐写术的应用实例可以追溯到很久远的年代。被人们誉为历史学之父的古希腊历史学家希罗多德曾在其著作中讲述了这样一则故事:一个名为Histaieus的人计划与他人合伙叛乱,里应外合,以便推翻波斯人的统治。为了传递信息,他给一位忠诚的奴隶剃光头发并把消息刺在头皮上,等到头发长起来后,派奴隶出去送“信”,最终叛乱成功。隐写术在历史上有过广泛的应用,例如战争、谍报等方面。 进入现代以来,随着网络的高速发展,越来越多的信息在网络上进行传递,人们通过邮件、文件和网页等进行交流,传递信息。然而在信息传递的快捷与高效的同时,信息的安全性也越来越受到考验。例如网络上的病毒、木马、泄密软件等,还有非法组织以某种目的窃取信息等,都对信息的安全造成了严重的威胁。特别是对于政治、军事和商业等领域,敌对势力之间互相的监控、窃密等都普遍存在,信息传递的安全性至关重要。传统的密码学虽然可以在一定程度上保证信息的安全,但它仅仅隐藏了信息的内容。为隐藏信息所生成的密文通常是杂乱无章的代码或者逻辑混乱的语言,反而更会引起追踪人员和破译人员的注意,增加暴露风险。这成为密码的致命弱点。 另一方面,随着数字技术的迅猛发展和互联网越来越广泛的应用,数字媒体的应用越来越多,基于数字媒体的商业得到了迅速发展,而通过扫描仪等也可以方便的将纸质材料转换为数字材料。与此同时,数字媒体的复制、传播也越来越方便,这为盗版提供了极大的便利,例如网上盗版软件、盗版电子版图书等随处可见,严重破坏了知识产权。因此如何保护数字媒体的知识产权,防止知识产品被非法地复制传播,保证信息的安全,也成为了越来越紧迫的问题。 正是由于上述问题的存在,信息隐藏技术应运而生。 二、信息隐藏技术的原理与特点
易语言驱动隐藏进程
驱动保护-隐藏进程躲避封号检测 隐藏进程有2种级别: 1.是应用级在R3层,这种级别隐藏进程容易,但也比较容易查出进程。 2.是驱动级在R0层,这种级别是最高级别隐藏,隐藏容易,但查出来比较难,需要一定的内核编程技术才能取出驱动隐藏的进程信息。 那么我们这就来讲讲驱动级隐藏进程吧, 在Game-EC 驱动版本模块中,加入了RO级的隐藏进程命令,由于Game驱动是我在xp SP3和win7 32位系统里写的, 所以支持这2种系统,当然其他版本系统没测试过,也许也支持2000或2003,如果谁有空就在这2个2000或2003系统测试吧, 如果有问题就联系我,修改支持兼容即可,64位系统就不用测试了,因为64位系统上运行驱动,需要微软数字签名认证,需要购买。 所以模块驱动不会支持64位系统使用,切勿在64位系统中使用,以免蓝屏! 很多游戏会检测辅助程序的进程,来判断机器上是否运行着可疑的程序(对游戏有破坏性的), 包括现在有的游戏居然会直接检测易语言进程,禁止运行时候时候运行易语言,这种情况,就是游戏枚举了系统进程, 发现了针对它的程序进程,对此做的各种限制。 所以隐藏进程在反游戏检测中也是很有一席之地的,下面我们来写个小例子,举例下如何运用驱动版本模块中的隐藏进程, 来隐藏我们的辅助进程, 例子的代码:
例子布局: 没有隐藏进程之前,在任务管理器里,我们可以查看到,当前程序进程 如图: 我们开始加载驱动隐藏我们程序进程,特别注意哦,我们的驱动加载时候会释放驱动文件到C盘文件去, 驱动文件名为:Dult.SYS ,如果有杀毒拦截提示,请允许放行加载! 如图:
隐藏我们的进程后,我们在任务管理器里找找,或者自己写一份枚举系统进程的代码,枚举下全部系统进程, 查看下我们是否能枚举出我们隐藏的进程呢,嘿嘿,当然是无法枚举出来, 如图: 我们已经无法在任务管理器里找到我们的进程了,因为我们已经以驱动级把我们的进程信息从系统中抹掉了。 这样任何应用级程序枚举或查找进程,都无法找到我们的程序进程。有一定的效果躲避了一些监测进程的保护!
常见信息隐藏技术..
编号:10013210439 南阳师范学院2014届毕业生 毕业论文 题目:常见信息隐藏技术的研究 完成人:刘豪一 班级:2010-04 学制:4年 专业:软件工程 指导教师:李争艳 完成日期:2014-03-15
目录 摘要 (1) 0引言 (1) 1信息隐藏技术的概念及特征 (1) 1.1信息隐藏技术的概念 (1) 1.2信息隐藏技术的特征 (2) 1.3信息隐藏的分类 (3) 2常见信息隐藏技术介绍 (3) 2.1隐写术 (3) 2.2数字水印技术 (4) 2.3可视密码技术 (5) 3常见信息隐藏技术算法实现 (5) 3.1隐写术算法概述 (5) 3.1.1时空域算法 (6) 3.1.2变换域算法 (6) 3.1.3压缩域算法 (7) 3.2数字水印技术算法介绍 (8) 3.2.1空域算法 (8) 3.2.2 Patchwork算法 (8) 3.2.3变换域算法 (8) 3.2.4压缩域算法 (9) 3.2.5 NEC算法 (10) 3.2.6生理模型算法 (10) 3.3可视密码技术实现方法 (10) 3.3.1(k,k)可视密码基本矩阵的构造 (10) 3.3.2(k,n)可视密码基本矩阵的构造 (11)
4信息隐藏技术的应用 (11) 4.1数字知识产权保护 (11) 4.2数据完整性鉴定 (12) 4.3数据保密 (12) 4.4资料不可抵赖性的确认 (13) 5信息隐藏技术的发展和未来趋势 (13) 6总结 (13) 参考文献 (14) Abstract (15)
常见信息隐藏技术的研究 作者:刘豪一 指导老师:李争艳 摘要:在信息化时代,随着计算机网络的迅猛发展,信息安全保密工作面临着动态变化的新形势和问题。本文主要介绍了信息隐藏的基本概念,主要特征,研究方法,技术分类等;研究了各种信息隐藏技术的算法实现;对信息隐藏技术的发展及未来趋势进行了分析和评述。 关键字:信息隐藏技术;数字水印;可视密码技术;隐写术 0引言 信息是人类社会和国家发展的重要战略资源。随着科学技术的快速发展,传统媒体内容正在向数字化转变。数据的交换与传输也变得更加快捷。但随之而来的日益严重的知识产权侵犯行为和基于加密的安全措施面临的严峻挑战,使得信息隐藏技术重新焕发活力。信息隐藏是与数学、密码学、信息论、计算机视觉以及其他计算机应用技术等多学科交叉的学科,是各国研究者所关注和研究的热点[1]。在信息隐藏研究中,可以分为基础理论研究、应用基础研究和应用研究。其中基础理论研究是建立图像信息隐藏的理论框架和若干理论模型,解决安全性度量、通信量分析等基本理论问题,以揭示信息隐藏中若干基本矛盾。信息隐藏的应用基础研究主要针对典型应用需求,研究各种信息隐藏算法和评估体系。信息隐藏的应用研究以图像信息隐藏技术的实用化为目的,研究针对各种应用的实用系统。本文通过对信息隐藏的理论研究学习,浅谈下常见信息隐藏技术的应用。 1 信息隐藏技术的概念及特征 1.1 信息隐藏技术的概念 信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息(载体)中,然后通过公开信息的传输来传递机密信息。第三方则难以从公开信息中判断机密信息是否存在,难以截获机密信息,从而
信息隐藏结课论文
《信息隐藏原理及应用》结课论文 《信息隐藏原理概述》 2013——2014第一学年 学生姓名*** 专业班级***班 学生学号********* 指导教师**** 二〇一三年十二月十八日
信息隐藏原理概述 摘要 在信息技术飞速发展的今天,人们对信息安全给予了更多关注。因为每个Web站点以及网络通信都依赖于多媒体,如音频、视频和图像等。随着数字隐藏技术的发展,在特定的应用方面对其技术性能又提出了更高、更具体的要求,在一般的信息隐藏方法中,这些特性都是相互冲突、互相矛盾的而信息隐藏这项技术将秘密信息嵌入到多媒体中,并且不损坏原有的载体。在没有专门检测工具的情况下,第三方既觉察不到秘密信息的存在,也不知道存在秘密信息。因此密钥、数字签名和私密信息都可以在Internet上安全的传送。因此信息隐藏领域已经成为信息安全的焦点。 【关键词】:信息隐藏,网络,信息,稳私,算法
目录 引言 (4) 一、信息隐藏技术的现实意义 (5) 1.1 隐写术(Steganography) (5) 1.2 数字水印技术(Digital Watermark) (6) 1.3 可视密码技术 (6) 二、基本原理 (6) 三、信息隐藏的特点 (7) 3.1 隐蔽性 (7) 3.2 不可测性 (7) 3.3 不可见性 (7) 3.4 不可感知性 (8) 3.5 鲁棒性 (8) 3.6自恢复性 (9) 四、信息隐藏的计算和技术实施策略 (9) 五、信息隐藏技术的应用 (10) 5.1 数据保密通信 (11) 5.2 身份认证 (11) 5.3 数字作品的版权保护与盗版追踪 (11) 5.4 完整性、真实性鉴定与内容恢复 (11) 六、结束语 (12) 参考文献 (13)
特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马病毒的隐藏技术 李军丽 云南大学信息学院 云南 650031 摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 关键词:木马病毒;网络安全;隐藏技术 0 引言 随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 1 木马的隐藏技术 木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。 1.1 本地文件伪装隐藏 木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。 1.2 木马的启动隐藏方式 (1) 本地文件伪装 最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。 (2) 通过修改系统配置来实现木马的启动隐藏 利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。像Autoexec.bat和Config.sys。特别是系统配置文件MSCONFIG.SYSMSCONFIG.SYS中的系统启动项—— system.iniwindow.ini是众多木马的隐藏地。Windows安装目录下的system.in的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。这里也有可能被木马所利用。再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。 (3) 利用系统路径遍历优先级欺骗 Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下,WINDOWS会执行C:\下的程序,而不是C:\WINDOWS下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDOWS就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。 (4) 替换系统文件 木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。让动态链接库可以像程序一样运行的RUNDLL32.EX等。木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序,木马就能继续驻留内存了。木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。1.3 进程隐藏 进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK 技术拦截有关作者简介:李军丽(1980-),女,云南大学信息学院05级硕士研究生,研究方向:计算机网络安全,嵌入式系统。
信息隐藏技术研究与总结
信息隐藏技术作业 班级:Y130701 姓名: 学号:
基于信息隐藏技术的研究现状综述 摘要:信息隐藏技术,一类区别于信息加密技术而广泛被研究的隐蔽通信技术。传统的加密技术是通过对秘密信息进行加密,使得得到秘密信息的非法用户,在有限的计算条件下,没有指定的密阴,其根本无法识别秘密信息,而信息隐藏技术的重点不在于无法识别,而在于信息的不可见性。当秘密信息通过隐藏算法处理以后,人们获得的信息只能是普通的图像,并不能确定其中是否隐藏了秘密信息。只有通过一定的计算能力将其中的隐蔽信息提取,从而得到想要的秘密信息,仅仅通过人眼是无法看出是否其所得内容中隐藏了秘密信息。信息隐藏技术被人们熟知的有隐写术、数字水印、信息分存。目前研究比较热门的当数分存中的秘密共享技术以及其与隐写术结合。秘密共享技术有其必然的缺陷,通过和其他隐藏技术的结合使得隐蔽通信更加安全。 关键词:秘密共享;信息隐藏;多项式;视觉密码; 中图法分类号:TP309 文献标识码:A 1 引言 近些年,当加密技术日趋成熟,人们所关心的重点不再是加密算法的复杂性,多变性。人们希望能够通过一种技术使得秘密信息在不可见的情况下秘密传输,对于非法参与者,其秘密信息是不可见的,人眼无法识别所传输的载体中是否隐藏了秘密信息。直接传输隐密载体图像,实质上已经将秘密信息同时传输。传统的信息隐蔽技术常见的有LSB嵌入、MLSB 替换隐写、+K与随机调制隐写、JSteg 隐写、F5隐写等。但这些技术在一定程度上都会改变原载体图像的统计特性,通过计算机参与的统计图像特征,这些隐写技术并不是十分安全的。于是人们想到了分存技术,将秘密信息按一定的规律分割成多个部分,分别存储在多个不同的地方,即使非法参与者得到了少量的共享信息,也无法恢复出秘密信息。 最早的共享方案是由Shamir在1979年提出基于多项式的门限共享方案[1],同年由Blakley提出基于矢量的共享方案。但此方案仅限于数字,对于图像的话不太适用(产生的共享尺寸太大,如果我们于隐写技术结合要去隐藏这些共享的话),所以Thien and Lin[2]提出了改进方案,其出发点是为了减少所产生共享的尺寸大小。由于图像在网络中传输和人们生活中的多用性,在1995年Shamir和Naor两人将这种共享理念推广到图像领域并很好的运用到生活中提出了可视化秘密共享方案VCS[3]。对于方案中的两大缺陷像素扩展和可视化质量差,大量的学者对此进行了研究。部分学者还提出多秘密共享、灰度图像的共享、彩色图像的共享、图像纵横比不变的方案等。对一些方案所产生的共享为类噪声的无用共享,人们与原有的隐写技术结合,使得共享成为更加不易被检测者发现的普通图像。基于可视化秘密共享的方案和基于多项式的秘密共享方案,都有自身的特色和缺陷,人们根据生活需要,提出了合二为一的混合秘密共享方案,两种方案的合理结合达到人们预想的效果,虽然目前基于二者混合方案的研究内容还不算多,但其效果明显,可见其研究的意义还是很大的。 论文的其余部分安排如下:第二部分主要介绍了基于多项式秘密共享方案;第三部分主要说明了基于可视化秘密共享方案;第四部分简要说明混合秘密共享方案;第五部分为论文总结。 2基于多项式秘密图像共享
基于Matlab的LSB信息隐藏技术
摘要 随着科技的发展,信息安全技术已经成为不可忽略的因素。而网络的普及及应用,让多媒体技术得到了广泛的发展,因此图像及视频的安全变得越来越重要。本文正是在这种时代背景下,介绍一种关于图像处理的信息隐藏技术。 用于进行隐蔽通信的图像信息隐藏算法可以分为两大类:基于空域的信息隐藏算法和基于变换域的信息隐藏算法。基于空域信息隐藏算法中的典型算法是LSB算法,该算法的主要特点是在载体图像中嵌入的隐藏信息数据量大,但是嵌入位置固定,安全性差,嵌入的隐藏信息易被破坏,鲁棒性不高;基于变换域信息隐藏算法中的典型算法是离散余弦变换域的信息隐藏算法,该算法嵌入信息能够抵御多种攻击,具有较好的鲁棒性,并且嵌入方式多种多样,增加了攻击者提取的难度,具有一定的安全性,但是该类算法嵌入的隐藏信息数据量较小,不适合于进行大数据量的隐蔽通信。 下面对LSB算法原理及LSB算法实现进行了介绍,最后使用MATLAB 对其隐藏过程进行了仿真。 [关键词]信息安全隐藏嵌入信息 I
目录 一、设计要求 (3) 二、设计的目的 (3) 三、设计的具体实现 (3) 3.1 信息隐藏及时空域信息隐藏概述 (3) 3.2 LSB上的信息隐秘 (4) 3.2.1 LSB上信息隐秘的原理 (4) 3.2.2 LSB上的信息隐秘的过程 (5) 3.3运用LSB实现秘密消息的隐藏 (6) 3.4运用LSB实现秘密消息的差异对比 (9) 3.5运用LSB实现秘密消息的提取 (12) 3.6信息隐藏的拓展 (15) 四、心得体会 (16) 五、参考文献 (16)
一、设计要求 1.复习《信息安全技术导论》中有关LSB的相关知识。 2.对其算法进行详细研究与理论分析。 3.利用MATLAB编写程序并仿真结果。 4.设计报告中应包括具体设计原理、设计的详细说明书以 及最终结果。 二、设计的目的 1.了解并掌握LSB信息隐藏和提取的方法,具备初步的独 立分析和设计能力; 2.提高综合应用所学的理论知识和方法独立分析和解决问 题的能力; 3.训练用MATLAB软件编写程序并仿真。 三、设计的具体实现 3.1 信息隐藏及时空域信息隐藏概述 信息隐藏技术主要由下述两部分组成: (1)信息嵌入算法,它利用密钥来实现秘密信息的隐藏。 (2)隐蔽信息检测/提取算法(检测器),它利用密钥从隐蔽载体中检测/恢复出秘密信息。在密钥未知的前提下,第三者很难从隐秘载体中得到或删除,甚至发现秘密信息。 空域隐藏技术是指将秘密信息嵌入数字图像的空间域中,即对像素灰度值进行修改以隐藏秘密信息。 时空域信息隐藏分为:LSB与MSB,LSB对应的中文意思是:最不重要位,有时也称为最低有效位或简称最低位。MSB,