浅析png-filter

一篇浅析png-filter的水文

前言

PNG(Portable Network Graphics,便携式网络图形)作为常见的图像文件存放格式之一，具有「无损压缩」、「支持透明通道」、「可移植」等特点，广泛运用于互联网及其他方面。总之对其filter做一篇浅析，在后文的介绍中，都是围绕CTF隐写点做介绍。

PNG和其他主流格式比较

PNG是一种光栅图形文件格式，支持无损数据压缩，PNG是作为GIF改进的。而JPEG是一种常用的有损压缩数字图像的方法，通常实现 10:1 压缩，图像质量几乎没有可察觉的损失。因此在常见的隐写中，一般不会在使用stegsolve对JPEG图片进行分析，因为其有损的原因，除了一些软件去对JPEG做LSB隐写，几乎不会直接在stegsolve中提取出可用的信息。

PNG结构

PNG分为signature和chunk

其中signature即常说的文件头，PNG的文件头为x89x50x4ex47x0dx0ax1ax0a，通过文件头来判断文件类型是最常见的一种判断方式 。一般情况下，出现这8个字节，就代表后面的数据包含一个PNG图像，且直到IEND结束(PNG的"文件尾"，字节为x00x00x00x00x49x45x4ex44xaex42x60x82)

接下来是数据块，每个数据块都是由Length,Chunk type,data,CRC组成的。

其中Length是4字节的无符号数，范围是0~2^31-1。

chunk type为块的类型，例如PNG的数据块其chunk type就为IDAT。

data为该块的大小，该值可以为空

CRC是根据Chunk type+data计算出来的，不包含Length，采用循环冗余码算法。详细见参考链接3

总结如下

第一个字母: 大写表示渲染图片所必需的块，小写表示用于渲染图像的辅助块，即非必须。

第二个字母：大写表示公共标准块，而小写表示专有或非标准。

第三个字母：始终是大写字母。

第四个字母：小写字母表示如果生成新的 PNG 则可以安全复制。否则制作衍生PNG文件时，要么重新生成它，要么将其删除。

例如：

带有PLTE的图像

对于chunk来说，IHDR、IDAT、IEND是必须的。这里只讲一手IHDR，因为后面开始解析IDAT

IHDR头即块中Type字段为IDAT，IHDR应该是PNG数据流中的第一个块且唯一。其data包含如下信息

其中 颜色类型如下：

解析IDAT内容

IDAT中的data是采用zlib库的DEFLATE算法进行压缩的，在python中直接使用zlib库解压缩

import zlib
f = open('file.txt','rb').read() #file.txt为一段压缩后的数据
print(zlib.decompress(f))

在之前提到Filter method只有一种类型，但是包含5种算法，分别是表中内容

表1：定义变量

x为当前字节，a为x左边那一像素值,b为上一条扫描线对应的像素值，c为左上

或者这个

表2：

其中 PaethPredictor函数定义如下：

    p = a + b - c
    pa = abs(p - a)
    pb = abs(p - b)
    pc = abs(p - c)
    if pa <= pb and pa <= pc then Pr = a
    else if pb <= pc then Pr = b
    else Pr = c
    return Pr

❝

注意:

1.如果在计算完之后超出了255或者小于了0，如果没有uint，那么就需要手动&0xFF才行

2.对于average中的除以2，使用>>1即可，例如X[j] = (X[j] - ((A[j] + B[j])>>1)) & 0XFF

3. 对于Sub，第一个值为标准值，不做任何过滤 对于Up，如果是第一行那么也不做任何过滤 对于average，如果是第一行，则第一个值不做任何过滤，其他值则计算X[j] = (X[j] - (A[j]>>1)) & 0XFF 如果是第一列，则计算X[j] = (X[j] - (B[j]>>1)) & 0XFF 对于Paeth，如果是第一行，则同Sub；如果是第一列，则与上一行作差
   

❞

针对Filter进行隐写

根据filter一共有5种类型，出一道指定filter的题目，其中包含5种类型的filter，构造4进制，用None类型进行分割

可以手写出5种filter类型的Filter Function，自己调用并修改字节，最后进行压缩，构造好chunk并添加signature IHDR IEND

例如构造一张10*5的图片，其filter类型分别为0 1 2 3 4 5，原图的RGB值全为128 128 128

from PIL import Image
pic = Image.new('RGB',(10,5),(128,128,128))
pic.save('tmps.png')

通过zlib库解压缩可以看一下得到的字节

import zlib
import struct
f = open('tmps.png','rb').read()
ind = f.index(b'IDAT')
length, = struct.unpack('>L',f[ind-4:ind])
data = f[ind+4:ind+4+length] #只有一个IDAT块
print(zlib.decompress(data))
#b'x01x80x80x80x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x02x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x02x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x02x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x02x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00'

接下来，有多种方法实现，例如提取RGB值，重构整个data。

先用数组存储一下pixel

from PIL import Image
img = Image.open('tmps.png')
w,h = img.size
pixel = []
for i in range(h):
    tmp = []
    for j in range(w):
        tmp.append(img.getpixel((j,i)))
    pixel.append(tmp)
print(pixel)

接下来，为了演示的方便，所以写的比较直接，没有任何优化，甚至不能直接拿去用

哦，是多么好看的字节

要注意的是，在使用的时候是拿像素的值去做加减，而不是拿字节

然后再用zlib库进行压缩，最后重新写进去，得到这样

❝

78 9C 63 68 C0 0B 18 81 98 01 37 60 C2 23 07 04 CC 0E 0E 0E 78 A4 59 F0 EB 06 00 14 0E 11 4B 可以自己去inflate看看

❞

简直一模一样(因为本来就一模一样) 这样就可以实现自己指定filter类型 实现隐写咯

不放脚本，是真的因为写的太垃圾了，只用了PIL去处理

既然文章写的那么短，要不再给大伙出个简单题，见下图图一与图二，flag格式mumuzi{}

题目名称：GURA

题目下载：https://pan.baidu.com/s/1eC7-XRK9RXnnF6-u9n2Gdw 提取码（GAME）

题目试练地址：https://www.ichunqiu.com/battalion?t=1&r=70900

参考链接

1.https://en.wikipedia.org/wiki/Portable_Network_Graphics: Portable Network Graphics.

2.https://en.wikipedia.org/wiki/JPEG: JPEG

3.https://en.wikipedia.org/wiki/Cyclic_redundancy_check : CRC

4.https://www.w3.org/TR/PNG/：Information technology — Computer graphics and image processing — Portable Network Graphics (PNG): Functional specification. ISO/IEC 15948:2003 (E)

致谢

特别感谢**Rightp4th(TRPH)**的倾囊相授与对文章错误的修改