Hallo! Ich hab hier mal eine sehr eigenartige Situation für .bmp-Datei spezialisten, hoffe jemand solcher kann mir weiterhelfen. Es geht um 2 exakt gleiche bmp-Dateien (Bilder), welche auch in ihrer Größe 1:1 den gleichen Speicherbedarf benötigen. Eine der beiden Dateien wurde jedoch von einem Bekannten von mir irgendwie verändert, sodass kein Bildbearbeitungsprogramm oder sonstiger Bildbetrachter mehr das Bild anzeigen kann ... diese Datei wird einfach nicht mehr als Bild erkannt. Angeblich hat der Bekannte ein spezielles Programm mit dem er diese verschlüsselten Bilder dann betrachten kann, ich glaube es aber nicht wirklich ... Meine Frage wäre jetzt, was hat er genau gemacht? Was wurde an der zweiten Datei verändert, sodass sie nicht mehr als Bild erkannt wird, jedoch ihr Speicherbedarf 1:1 gleichgeblieben ist. Wurde es irgendwie verschlüssel? Oder nur ein winziger Eintrag in der Datei verändert? Bitte um Ideen dazu, die beiden Dateien sind im Anhang zu finden. Würde mir auch weiterhelfen, mit welchen Programmen man solche Dateien analysieren könnte, um zu sehen wo etwas verändert wurde ... irgendwie den Code der Dateien vergleichen?? Mfg, Stepri
Angehängte Dateien:
-
Bild_1_original.bmp
440 KB -
Bild_1_veraendert.bmp
440 KB
Nimm doch Mal ein Programm wie diff,Kdiff3,Notepad++ und vergleiche die Dateien Binär. Vielleicht wurde nur der Header überschrieben.
Angehängte Dateien:
-
ghexVergleich.png
39 KB
Die ersten Bytes sind völlig anders, "Bildbetrachter" sagt schlicht "Vorspanndaten des BMP-Bildes sind Unsinn"
Bei der veränderten Datei sind 449.576 der 451.314 Bytes verschieden zum Original, also fast alle. Demzufolge ist eine Verschlüsselung des kompletten Dateiinhalts anzunehmen.
Die Referenz für das (reichlich beatgte) BMP-Format enthält keine Verschlüsselungs-Option. Die Haeder-Daten sind einfach nur falsch und deshalb kann das Bild nicht angezeigt werden. Natürlich kann man keinen Programierer daran hindern, sich selber etwas Neues auszudenken. Aber dann darf man sich nicht wundern, wenn die Darstellung ohne den passenden Interpreter nicht klappt ...
Die Bytes in der zweiten Datei scheinen völlig zufällig zu sein. Diese Eigenschaft haben vor allem komprimierte und verschlüsselte Dateien. Wäre die Datei komprimiert, wäre sie kleiner als das Original. Somit liegt der Schluss nahe, dass die Datei verschlüsselte Daten enthält, aber ohne irgendwelche Zusatzinformationen, die einen Hinweis auf das Verschlüsselungsverfahren geben könnten.
441KB ist die Originalgrösse. Wenn ich gzip darüber jage, bekomme ich 147K und 437K. Zum vergleich, bei /dev/urandom bekomme ich bei 441KB input auch 441KB output. Die Entropie ist also stark erhöht, aber nicht so stark, wie das bei einer optimalen Verschlüsselung der Fall sein sollte. Ich weiss noch nicht, was es ist. Es sieht mir aber nicht nach einem simplen XOR aus, dort würde ich sonst eine bessere Entropie erwarten, und ich konnte beim xor der Dateien auf die schnelle auch keine Wiederholung sehen (Wobei ich da nur nach den ersten paar bytes gesucht habe.)
Jetzt mal unabhängig von den technischen Details: Bekannte, die so einen Blödsinn machen, mich mit verschlüsselten Bildern verar.... wollen, die werden von meiner sozialen Liste gestrichen. Mit solchen Leuten möchte ich nichts zu tun haben, die werden ignoriert.
Das erinnert mich an meinen Ultra-Cruncher, für den Amiga. Der hat jedes File, "egal" welcher Länge, auf 256 Byte geshrinkt. OK, die Länge war durch den Arbeitsspeicher begrenzt... Na, irgend wo musste die Schatten-Kopie ja hin. :)
Nerv doch deinen "Bekannten" damit, dann bekommst du Infos aus erster Hand.
In Jugendjahren hab ich mal ein Programm gebastelt welches mehrere Bilder in eine Datei "verschlüsselt" ablegen konnte (simples XOR). Für Bilder mit ähnlich wenig Kleidung wie das Bild vom TO, aber doch nicht ganz so offen. Naja, die hat wohl keiner je versucht zu "knacken"...
Angehängte Dateien:
-
Unbenannt.PNG
79 KB
Wenn man binwalk -E über beide Dateien drüber lässt, sieht man, dass die Entropie an den selben Stellen hoch / runter geht. Ein bisschen was von den Ursprungsdaten / Struktur kommt also durch.
Könnte ne Russen-Attacke sein die auf veraltetet Systeme zielt: https://www.mailhilfe.de/beitrag-neue-sicherheitslcke-entdeckt-das-format-bmp-ist-nicht-mehr-sicher-564-html
Stepri22 schrieb: > Meine Frage wäre jetzt, was hat er genau gemacht? Er hat den Inhalt der ersten Datei verschlüsselt. Wie die resultierende Datei genannt wird, ist völlig egal. Man hätte sie beispielweise auch .txt oder .xyz nennen können.
Ok, verstehe - danke für die ausführlichen Analysen der Datei!! Ich war der festen Meinung, er hätte nur eine "Kleinigkeit" geändert, da eben die Größe der Dateien fast 1:1 gleich ist ... Könnte man ausfindig machen, welche Verschlüsselung er ggf. verwendet hat, sofern er ein "Standard-Verfahren" verwendet und kein selbst "zusammengebasteltes" ?? lg
Stepri22 schrieb: > Hallo! > > Ich hab hier mal eine sehr eigenartige Situation für .bmp-Datei > spezialisten, hoffe jemand solcher kann mir weiterhelfen. > > Es geht um 2 exakt gleiche bmp-Dateien (Bilder), Nein, exakt gleich schon mal gar nicht. > welche auch in ihrer > Größe 1:1 den gleichen Speicherbedarf benötigen. Eine der beiden Dateien > wurde jedoch von einem Bekannten von mir irgendwie verändert, sodass > kein Bildbearbeitungsprogramm oder sonstiger Bildbetrachter mehr das > Bild anzeigen kann ... diese Datei wird einfach nicht mehr als Bild > erkannt. (1) > > Angeblich hat der Bekannte ein spezielles Programm mit dem er diese > verschlüsselten Bilder dann betrachten kann, ich glaube es aber nicht > wirklich ... > > Meine Frage wäre jetzt, was hat er genau gemacht? Er stellt dir ein Rätsel, eine Denksportaufgabe, eine Herausforderug (neudeutsch: challenge) > Was wurde an der > zweiten Datei verändert, sodass sie nicht mehr als Bild erkannt wird, > jedoch ihr Speicherbedarf 1:1 gleichgeblieben ist. Wurde es irgendwie > verschlüssel? Oder nur ein winziger Eintrag in der Datei verändert? > > Bitte um Ideen dazu, die beiden Dateien sind im Anhang zu finden. > > Würde mir auch weiterhelfen, mit welchen Programmen man solche Dateien > analysieren könnte, um zu sehen wo etwas verändert wurde ... irgendwie > den Code der Dateien vergleichen?? Du fragst nach Lernunterstützung, ist legitim. Nun müssen halt andere die Suchmaschinen und Lernmittel wälzen für dich... Gibt für dich halt Punktabzug bei echten Intelligenztests. > > Mfg, > Stepri (1) hätte er seine Arbeit GANZ gemacht, würde die Datei trortzdem als "Bilddatei" identifiziert werden auch wenn dann tatsächlich "nix kein schlaues Bild" zu erkennen sein müsste (einfachheitshalber lassen wir Steganographie weg). Auch er kann sich also noch steigern.
Stepri22 schrieb: > Ich war der festen Meinung, er hätte nur eine "Kleinigkeit" geändert, da > eben die Größe der Dateien fast 1:1 gleich ist . die Dateigrösse entsteht nicht aus den Werten der Bits sondern aus deren Anzahl
Stepri22 schrieb: > Ok, verstehe - danke für die ausführlichen Analysen der Datei!! > > Ich war der festen Meinung, er hätte nur eine "Kleinigkeit" geändert, da > eben die Größe der Dateien fast 1:1 gleich ist ... Meinungen, gerne auch eigene, sollten halt auf Faktenchecks fussen. Und nicht nur "fast". > Könnte man ausfindig machen, welche Verschlüsselung er ggf. verwendet > hat, sofern er ein "Standard-Verfahren" verwendet und kein selbst > "zusammengebasteltes" ?? Klar kann man das. Das beginnt halt damit dass man beim Matheunterricht "Fenster" von Fensterplatz eher ignoriert. (die Altvorderen der anderen Seite habe schliesslich auch die Enigma geknackt, lange ist's her) Beim nutzen von Computerprogramme übrigens auch wärmstens empfohlen, damit man sich von "Dateiendungen" (die '70er haben angerufen und wollen sie zurück) nicht blenden lässt und sich mal grundsätzlich mit Daten- & Dateiformate auseinandersetzt.
Man könnte den Header ja einfach mal in das Verschlüsselte Bild reinkopieren. ;)
„Meinungen, gerne auch eigene, sollten halt auf Faktenchecks fussen„ Als jemand mit Erfahrungen im Kundendienst kann ich sagen, dass für die die keine Ahnung haben und die Arbeit herabwürdigen wollen ergo Preis drücken…alles eine Kleinigkeit ist. Sie selbst können diese aber nicht erledigen
Tom schrieb: > Als jemand mit Erfahrungen im Kundendienst kann ich sagen, dass für die > die keine Ahnung haben und die Arbeit herabwürdigen wollen ergo Preis > drücken…alles eine Kleinigkeit ist. > Sie selbst können diese aber nicht erledigen Wobei das sogar stimmen kann: Ein Projekt extern zu vergeben kann einen großen Abstimmungsaufwand bedeuten, während es für den Kunden selbst recht einfach sein kann. Für den Auftragnehmer ist das ziemlich blöd, weil dann der Großteil des Projekts Abstimmung ist.
Angehängte Dateien:
-
BildX.bmp
440 KB
Axel R. schrieb: > Man könnte den Header ja einfach mal in das Verschlüsselte Bild > reinkopieren. ;) Bringt nichts, wie man sieht. Auch wenn man das Bild und die verschlüsselte Version xor-verknüpft findet man in dem "Key" keine Regelmäßigkeiten.
Programmierer schrieb: > Ein Projekt extern zu vergeben kann einen großen Abstimmungsaufwand > bedeuten, während es für den Kunden selbst recht einfach sein kann. Warum? Der Kunde hat den Abstimmungsaufwand doch dann auch. > Für den Auftragnehmer ist das ziemlich blöd, weil dann der Großteil des > Projekts Abstimmung ist. Sofern er den Aufwand für diese Abstimmung mit einkalkuliert hat, passt es doch.
TO: "... von einem Bekannten ..." Yalu: "Somit liegt der Schluss nahe, ..." ... dass es sich um einen Troll handelt.
Borthyme schrieb: > TO: "... von einem Bekannten ..." > > Yalu: "Somit liegt der Schluss nahe, ..." > > ... dass es sich um einen Troll handelt. Oder um einen Raubkopierer aus dem Medizinerumfeld. Könnte sich um kostenpflichtiges Material aus einem Anatomieatlas o.ä. handeln. https://www.filmdienst.de/film/details/512348/karriere-einer-leiche
Stepri22 schrieb: > Bitte um Ideen dazu, die beiden Dateien sind im Anhang zu finden. Ideen? Ganz viele. Zum Beispiel, die Bilddatei zu komprimieren und dann das Ergebnis in die ursprüngliche Datei hineinkopieren und XOR drüber, so daß all die Teile, die über die komprimierte Datei hinausstehen, auch nicht mehr mit dem Original übereinstimmen. Oder XOR mit einem Codebuch. Geht am einfachsten. Aber WOZU das nachträglich herausknobeln ??? W.S.
Mario M. schrieb: > Bringt nichts, wie man sieht. Wenn man zehn Minuten im Stereo-Modus entschwebt auf die bunten Pixel schaut, sieht man nach und nach tolle Dinge. Jedenfalls wirds ansatzweise dreidimensional. 😂
Rolf M. schrieb: > Programmierer schrieb: > >> Ein Projekt extern zu vergeben kann einen großen Abstimmungsaufwand >> bedeuten, während es für den Kunden selbst recht einfach sein kann. > > Warum? Der Kunde hat den Abstimmungsaufwand doch dann auch. Klar, aber wenn er es selber machen würde gäbe es den Aufwand gar nicht. >> Für den Auftragnehmer ist das ziemlich blöd, weil dann der Großteil des >> Projekts Abstimmung ist. > > Sofern er den Aufwand für diese Abstimmung mit einkalkuliert hat, passt > es doch. An sich ja, aber ist halt eventuell mehr Aufwand als man stemmen kann, besonders wenn man sowieso schon eine ambitionierte Deadline hat und solche Ideen schon im fortgeschrittenen Projekt kommen...
Stepri22 schrieb: > Es geht um 2 exakt gleiche bmp-Dateien (Bilder), welche auch in ihrer > Größe 1:1 den gleichen Speicherbedarf benötigen. Eine der beiden Dateien > wurde jedoch von einem Bekannten von mir irgendwie verändert, sodass > kein Bildbearbeitungsprogramm oder sonstiger Bildbetrachter mehr das > Bild anzeigen kann ... diese Datei wird einfach nicht mehr als Bild > erkannt. > > Angeblich hat der Bekannte ein spezielles Programm mit dem er diese > verschlüsselten Bilder dann betrachten kann, ich glaube es aber nicht > wirklich ... Wen interessiert das wirklich? Lass ihn doch machen. Ist das dein Problem? Evtl. hat der ein Wasserzeichen implementiert. Warum willst du seine Verkrüppelung auflösen?
Stepri22 schrieb: > Angeblich hat der Bekannte ein spezielles Programm mit dem er diese > verschlüsselten Bilder dann betrachten kann, ich glaube es aber nicht > wirklich ... Solch ein Programm ist trivial, im Anhang findest Du zwei kleine Python-Scripte nebst einer Konfigurationsdatei mit einer requirements.txt, in der die genutzten Module stehen. Die Verschlüsselung ist stark, genügt in dieser Form aber natürlich keinen hohen Standards, weil ich als Schlüssel und IV beide Male denselben String verwendet habe -- eigentlich müßte man das Paßwort vom Nutzer interaktiv abfragen, aber dazu war ich -- wie auch an anderen Stellen -- einfach viel zu faul. Egal, ist ja nur zur Demo, und laut Larry Wall (dem Erfinder von Perl) ist Faulheit ja eine der Kardinaltugenden von guten Entwicklern. ;-) > Meine Frage wäre jetzt, was hat er genau gemacht? Was wurde an der > zweiten Datei verändert, sodass sie nicht mehr als Bild erkannt wird, > jedoch ihr Speicherbedarf 1:1 gleichgeblieben ist. Wurde es irgendwie > verschlüssel? Oder nur ein winziger Eintrag in der Datei verändert? Also ich konnte nicht feststellen, was Dein Bekannter da gemacht hat, aber ich habe auch nicht allzuviel Zeit und Hirnschmalz darauf aufgewendet, es herauszufinden. Es gibt jedenfalls keine erkennbaren Muster in den Daten und den Differenzen, da wird also vermutlich ein echter symmetrischer Verschlüsselungsalgorithmus benutzt. Aber sowas ist ja ziemlich trivial, wie Du an den Skripten sehen kannst -- die GUI und das Imagehandling von "view.py" sind deutlich größer und aufwändiger als die vier Zeilen für die Ver- und Entschlüsselung. Damit sich niemand mit Körperwelten-Bildern abgeben muß, findet sich im Anhang noch eine Zipdatei, in der auch meine Testbilder liegen.
Stepri22 schrieb: > Angeblich hat der Bekannte ein spezielles Programm mit dem er > diese verschlüsselten Bilder dann betrachten kann, ich glaube > es aber nicht wirklich ... Dann dreh den Spieß doch um: Ersetze nur die reinen Bilddaten in der verschlüsselten Datei durch Zufallszahlen und laß Dir sein spezielles Betrachtungsprogramm daran vorführen. ;)
Thread beobachten
Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.