倾旋的博客

倾旋的博客

现阶段在进行有效性验证/攻击模拟相关的安全研究工作,我的博客会记录一些我的学习过程和部分安全技术研究成果。

31 Jan 2019

BMP位图隐写

0x01 BMP简介

BMP(全称Bitmap)是Windows操作系统中的标准图像文件格式,可以分成两类:设备有向量相关位图(DDB)和设备无向量相关位图(DIB),使用非常广。它采用位映射存储格式,除了图像深度可选以外,不采用其他任何压缩,因此,BMP文件所占用的空间很大。BMP文件的图像深度可选lbit、4bit、8bit及24bit。BMP文件存储数据时,图像的扫描方式是按从左到右、从下到上的顺序。由于BMP文件格式是Windows环境中交换与图有关的数据的一种标准,因此在Windows环境中运行的图形图像软件都支持BMP图像格式。

典型的BMP图像文件由四部分组成:

当然,我们不需要了解那么多,唯一比较重要的就是文件数据结构。

0x02 BMP文件格式

第一个知识点:BM (0x4D 0x42)

2019-01-31-16-00-25

所有的BMP文件都以这两个字节开头(固定格式)。

详解大端模式和小端模式

由于个人计算机都是以小端存储的,所以你看到的0x4D 0x42都要从0x4D由右向左开始读取。

第二个知识点:BMP文件大小

2019-01-31-16-02-53

0x00072D46 = 470342(Byte) = 470KB

所以这个BMP的文件大小是470KB,也就是说一个图片软件,校验图片是否损坏、是否完整,都是通过读取这四个字节来判断的。

当然在Web领域也是一样,在图片进行渲染的过程中也会判断文件是否完整。

0x03 偏移量-像素位置

BMP的格式我们不介绍太多,关键是找到像素的偏移量就够了,有了偏移量就能够覆盖像素,每一个像素的宽度是3个字节,也就是色光三原色的RGB值。

2019-01-31-16-16-59

其中36前面的00 00 00 00是保留位,没有意义。

36 00 00 00(0x36)转换成十进制是54。

也就是说,从BMP文件的第一个字节开始,到第54个字节就是像素的开始。

2019-01-31-16-21-16

三个D8就是一个像素。

0x04 写入内容

这个过程中,我们可以写入shellcode、PE文件、字符串等。

这里我只是写入了一个“Hello world !!!”:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

// ConsoleApplication1.cpp : This file contains the 'main' function. Program execution begins and ends there.
//

#include <iostream>
#include <Windows.h>
#include <winsock.h>
// int WinMain(HINSTANCE hinstance,HINSTANCE hprevinstance,LPSTR lpcmdline,int ncmdshow)
int main()
{
	CHAR text[] = "Hello world !!!";
	LPCWCHAR pFilename = TEXT("C:\\Users\\Rvn0xsy\\source\\repos\\ConsoleApplication1\\Debug\\splash.bmp");
	LPCWCHAR pSaveFilename = TEXT("C:\\Users\\Rvn0xsy\\source\\repos\\ConsoleApplication1\\Debug\\save.bmp");
	// 创建文件句柄,打开图片
	HANDLE hFile = CreateFile(pFilename, GENERIC_ALL, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE) {
		std::wcout << GetLastError();
		MessageBox(0, TEXT("CreateFile"), TEXT("Error"), MB_OK);
		return 0;
	}
	// 获取文件大小
	DWORD dwFileSize;
	dwFileSize=GetFileSize(hFile, NULL);
	// 申请一个与文件大小对应的内存空间
	CHAR * lpBuffer =(CHAR *) HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, dwFileSize);
	// 将文件内容读入内存
	ReadFile(hFile, lpBuffer, dwFileSize, &dwFileSize, NULL);
	// 获取第一个像素点对应的首字节
	DWORD * point = (DWORD*)(lpBuffer + 10);

	// 获取首个像素地址
	CHAR* lpData = (lpBuffer + (*point));
	// 写入内容
	CopyMemory(lpData, text, sizeof(text));
	//创建保存副本
	HANDLE hSave = CreateFile(pSaveFilename, GENERIC_ALL, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
	WriteFile(hSave, lpBuffer, dwFileSize, &dwFileSize, NULL); // 写入文件
	CloseHandle(hSave); // 保存

	// 释放堆
	HeapFree(GetProcessHeap(), 0, lpBuffer);

	// 关闭文件
	CloseHandle(hFile);
}

效果如下:

2019-01-31-16-24-59

对图片的影响只是像素级别的,不会出现缺损问题。

0x05 科普

使用CMD命令制作生成图片木马很可能会导致图片缺损,原因是有概率会覆盖掉偏移量、或者代码超出了偏移范围。