क्या छवि फ़ाइल में मनमाना डेटा संग्रहीत करना संभव है?

25

क्या इस तरह के दस्तावेज़ या छवि फ़ाइल के रूप में एक प्रोग्राम जैसे पीएनजी छवि के रूप में मनमाना डेटा स्टोर करना संभव है? मेरी चिंता यह है कि कोई छवि में मैलवेयर द्वारा उपयोग के लिए डेटा को एनकोड कर सकता है और इसे फ़्लिकर जैसी साइट पर अपलोड कर सकता है।

— bwDraco
स्रोत

3

MICE शोषण की जाँच करें जिसने Microsoft को कुछ साल पहले काली-आँख दी थी।

— Synetech

1

हां, यह MICE पेज के लिंक में से एक था। आप मनमाने ढंग से उस पृष्ठ से लिंक जोड़ रहे हैं, तो आप के रूप में जोड़ सकते हैं इस , यह , यह , यह , यह , यह , और सभी के अधिकांश यह ।

— Synetech

@ साइनिटेक: क्षमा करें; (अब हटाया गया) टिप्पणी में लिंक एक Google खोज से था, विकिपीडिया लेख से नहीं।

— bwDraco

ओह ठीक है; कोई चिंता नहीं। विकिपीडिया लेख में कुछ महान तकनीकी चश्मा हैं (मैंने Microsoft, Sysinternals और GRC के सबसे अच्छे लोगों को जोड़ा है)। वह चीज़ वास्तव में मुझे याद करने वाले वास्तविक नुकसान से अधिक प्रचार का कारण बनी। मेरी टिप्पणी में अंतिम लिंक थर्ड-पार्टी पैच था जिसे किसी ने Microsoft को रिलीज़ करने के लिए और आधिकारिक विंडोज अपडेट को पैच करने के लिए खुद बनाने के लिए लिया था। :-P

— Synetech

22

अधिकांश फ़ाइल स्वरूपों के लिए, हाँ। उदाहरण के लिए, PNG फाइलें टाइप किए गए चंक्स से बनी होती हैं, इसलिए आप नाम के साथ aAAAया lOLZमनमाना डेटा जोड़ सकते हैं । JPEG में "एप्लिकेशन-विशिष्ट" सेगमेंट हैं ; जेपीईजी में एक्जिफ टैग वास्तव में इस तरह के टैग के अंदर एक पूर्ण TIFF संरचना है। जीआईएफ जैसे अन्य प्रारूप एक्स्टेंसिबल नहीं हैं, लेकिन वे अक्सर पाठ्य टिप्पणियों के लिए एक क्षेत्र रखते हैं; यह पहले से ही दुरुपयोग किया गया है ।APPn

हालाँकि, इससे बचाव के तरीके हैं - उदाहरण के लिए, ऐसी वेबसाइटें जैसे Imgur स्वचालित रूप से सभी अपलोड को pngcrushसमान या समान टूल के साथ संसाधित करता है , जो कि ऐसी किसी भी चीज़ को छोड़ देता है जिसकी बिल्कुल आवश्यकता नहीं है।

लेकिन अंत में, डेटा एक्सचेंज को रोका नहीं जा सकता है। उपरोक्त छवि स्टेग्नोग्राफ़ी के अलावा, आपके पास ट्विटर और उसके क्लोन हैं, दर्जनों पास्टबिन (जिसमें असंगत पोस्ट को सामान्य रूप से सामान्य माना जाता है), पुराने ब्लॉग पोस्ट के कमेंट फ़ॉर्म (मैं अभी भी उस किताब को याद करने की कोशिश कर रहा हूँ जो यह सुझाव दिया गया था)। ... अधिक वास्तविक रूप से, अधिकांश मैलवेयर बस अपने "स्वयं" सर्वर से संपर्क करेंगे।

— grawity
स्रोत

19

दुर्भावनापूर्ण डेटा जैसी कोई चीज नहीं है। यह निष्पादित होने तक डेटा दुर्भावनापूर्ण नहीं बनता है, जिस बिंदु पर यह अब डेटा नहीं है। इस तरह की चीज की समस्या छवि नहीं होगी, यह सॉफ्टवेयर (विंडोज, फोटोशॉप, जो भी हो) होगा जिसमें एक बग होता है जो डेटा को निष्पादित करता है। यह स्पष्ट रूप से प्रमुख सॉफ्टवेयर विक्रेताओं की एक महत्वपूर्ण चिंता है, और आप यह सुनिश्चित कर सकते हैं कि वे इन बगों को बहुत जल्द ही ठीक कर लेंगे।

उस ने कहा, जैसा कि अन्य उत्तरों में कहा गया है, डेटा को जोड़ना संभव है जो फ़ाइल में छवि का हिस्सा नहीं है। हालांकि, यह अक्सर उपयोगी या मानक अभ्यास भी होता है। मुझे लगता है कि इंटरनेट पर मिलने वाली यादृच्छिक छवियों की तुलना में निष्पादन योग्य लोगों से सावधान रहना बहुत महत्वपूर्ण है। यहां जोखिम उतना बड़ा नहीं है।

— जउके वैन डर मास
स्रोत

"डेटा दुर्भावनापूर्ण नहीं हो सकता" निर्दोष दिखने वाले चैनलों के माध्यम से अपने क्रेडिट कार्ड नंबर जैसी जानकारी भेजने के लिए स्टेग्नोग्राफ़ी का उपयोग करने वाले मैलवेयर के बारे में क्या?

— आरआर-

12

पीएनजी सहित छवि फ़ाइलों का एक विशिष्ट प्रारूप है। फ़ाइल का हेडर भाग छवि का वर्णन करता है, और निम्नलिखित किसी भी डेटा को छवि डेटा (हेडर के आधार पर) के रूप में व्याख्या किया जाएगा।

हालांकि, आप पीएनजी के अंत में, छवि डेटा को अतीत में मनमाना डेटा जोड़ सकते हैं, जिसे बाद में पढ़ा जा सकता है। यह पता लगाने में काफी आसान होगा - छवि डेटा के अंत में कोई डेटा नहीं होना चाहिए।

वैकल्पिक रूप से, आप स्टेग्नोग्राफ़ी का उपयोग करके छवि में मनमाने ढंग से डेटा को एनकोड कर सकते हैं । यह सूक्ष्म रूप से छवि को एक तरह से बदल देता है जो कि काफी हद तक अनिश्चित होता है जब तक कि आपको पता नहीं है कि वास्तव में क्या देखना है (एन्कोडिंग विधि का पूर्व ज्ञान अक्सर आवश्यक होता है)।

— पॉल
स्रोत

मुझे पता है कि Adobe Fireworks वास्तव में png फ़ाइलों में अतिरिक्त डेटा संग्रहीत करता है (यह छवि का हिस्सा नहीं है)।

— ज्यूके वैन डेर मास

स्टेग्नोग्राफ़ी: stegosploit.info स्पष्ट रूप से

— मंगल रॉबर्टसन