Hola en esta entrada quiero compartir un documento que hice para un curso online que tome en UniversIT y que tuve la fortuna de que mi instructor fuera el profesional reconocido Roberto Martinez, el curso era sobre “Digital Forensics Fundamental Skills” y en una sesión sobre formatos de archivos me ofrecí a realizar un documento de como por ejemplo yo en un reto de un wargame me tuve que iniciar en el estudio de un Formato.

Así que aquí comparto dicho documento sobre el formato PNG y como aplique ese estudio a la resolución del reto. Al final se adjunta este mismo documento en PDF para quien prefiera descargarlo

Escenario:

Se nos proporciona una Imagen png corrompida, en algunos visores se puede ver parte de ella y en otros no se abre. La imagen forma parte de un reto de un wargame (El cual no mencionare para no aurrinar dicho reto)

Objetivos:

• Demostrar como iniciarse con el analisis de un formato desconocido.
• Documentarse y aprender aspectos basicos del formato PNG
• Reparar la imagen para que sea completamente visible.

Abordaje:

• Se mostrara como es posible realizarlo bajo entornos Windows y Linux (Es indistinto ya que el formato no cambia)
• Se mostraran herramientas similares en ambos entornos y diferentes maneras de realizarlo.

Imagen:

Se puede descargar de http://neobits.org/retos/analizapng/reto.png

Como se alcanza a apreciar solo se ve una parte y este visor (gwenview en linux) toma lo demas como transparencia.

En windows por ejemplo el icono “preview” de la imagen igualmente se ve esa transparencia, y el visor por defecto de windows lo muestra asi:

Pero algunos visores no lo pueden abrir ya que identifican error en el formato, Ej (eog en linux)

Por ejemplo internet explorer tampoco muestra parte de la imagen ya que lo toma como error. Google Chrome y firefox si nos muestra una parte de esa imagen.

eog nos arrojó informacion de donde esta el error. “PNG: IDAT: CRC error” esto poco a poco lo iremos entendiendo.

Pero ahora que hacer? Necesitamos documentarnos!!

El PNG es un formato bastante conocido y muy bien documentado en Internet, sin embargo para mi la mejor documentación sobre este formato que podria haber encontrado esta en:

http://www.w3.org/TR/PNG/

Aqui encontraremos una INMENSA cantidad de información de como trabaja el PNG. Como esta no es una guia del formato PNG, sino una resolución al problema plateado, resumire rapidamente cuestiones básicas que necesitaremos saber,

• Todo PNG comienza con su firma (0×89 0×50 0x4E 0×47 0x0D 0x0A 0x1A 0x0A )
• Los PNG tienen la característica de poseer chunks (Fragmento de información caracteristica de formatos multimedia)
• El PNG tiene 18 diferentes tipos de chunks cada uno con su especificación
• El chunk IDAT es la que contiene la información de la imagen en si.

Parte importante es saber la estructura de los chunks y en el siguiente apartado se explica perfectamente  http://www.w3.org/TR/PNG/#5Chunk-layout

Todo chunk sigue esta especificacion:

El chunk IDAT trabaja con la primera especificación. Pero ahora veamos cuantos bytes ocupa esta especificación.

1. 4 bytes para el tamaño de dicho chunk. El tamaño que se especifica SOLO ES PARA LA INFORMACION DEL CHUNK (no incluye los 4 bytes del tamaño, 4 bytes del tipo de chunk y 4 bytes del CRC)
2. 4 bytes para el tipo de chunk que estan en texto plano y se pueden consultar los 18 tipos aqui
3. La información del chunk ocupa el numero de bytes que se indico en el LENGTH
4. El CRC ocupa 4 bytes y calcula el crc32sum del CHUNK TYPE y del CHUNK DATA

Vale mucha teoria? La verdad no, se los deje de lo mejor resumido y con los ejemplos quedara
entendido perfectamente.

Veamos un ejemplo:

Esta es la forma que se ve hexadecimalmente el png. El editor hexadecimal aqui usado es Winhex bajo Windows, Winhex tiene la opcion de colorear ciertas partes para hacerlo mas identificable.

En el ejemplo vemos 4 colores que corresponden a;

• Amarillo  ->   Firma PNG (Solo una vez y en todo png)
• Verde        ->   Longitud de la información del chunk
• Rojo          ->   Tipo/Nombre del chunk
• Blanco      ->   Información del chunk
• Azul           ->   CRC calculado del chunk (crc32sum de Rojo+Blanco)

Calcular Longitud:

Para calcular la longitud se debe pasar de hexadecimal a decimal para saber cuantos bytes. Se puede hacer con la calculadora en linux, windows o la fisica. Simplemente elegir el modo programador y listo. Yo lo hice mas rapido con php y la funcion hexdec();

Vemos las longitudes respectivamente y asi sabemos la longitud de información que tiene cada chunk:

• IHDR 13 bytes de información
• tEXt 71 bytes de información
• sRGB 1 byte de información
• IDAT 8192 bytes de información (Primer IDAT)

Calcular CRC:

Ahora hare uso de otro excelente editor hexadecimal, ahora en linux (OKTETA) Por su facilidad de calcular el crc32sum y mostrarme numero de bytes seleccionados es mi preferido para esta tarea en especifico.

Recordemos que para realizar el calculo del CRC del chunk se debe seleccionar los bytes de informacion del chunk mas el nombre del chunk. Y al final de la información del chunk estaran los 4 bytes que son el CRC.

Veamos un ejemplo de como se calcularia ERRONEAMENTE EL CRC. En el siguiente ejemplo solo se seleccionan los 13 bytes de informacion del chunk IHDR, lo cual al calcular el CRC nos da diferente a lo que debiamos

Ahora veamos como seria lo correcto para el calculo del CRC del chunk IHDR

Ya en este caso elegimos los 13 bytes de la informacion + 4 bytes del nombre del chunk y nos da el CRC correcto =). Lo mismo lo podemos hacer para los demas.

Ahora rapidamente con winhex se selccionan los bytes tambien y nos dirigimos a “Tools>ComputeHash” (Herramientas>Calcular Hash) seleccionamos CRC32 y nos lo calculara de la misma manera.

Ya entendimos (espero) como esta conformado esto pero ahora donde buscamos el error? Bueno lo
podemos hacer de varias maneras.

1.- La teoria dice que los chunks IDAT son los que contiene la información de la imagen en si. Asi que si un pedazo no se ve, podemos decir que el problema esta en este chunk.

2.- Esta ya la hicimos de hecho. Al abrirlo con eog en linux no dio el error: “PNG: IDAT: CRC error” Lo mismo pasa con el visor Irfanview en windows.

Asi que aqui ya nos dice que el error esta en el chunk IDAT y que el crc32sum calculado para ese chunk no corresponde, osease alteraron una parte (bytes) dentro de este chunk.

3.- En windows existe un programa llamado “Tweakpng.exe” que nos ayuda a identificar errores en los PNG

Aqui Tweakpng nos identifica el mismo error que en los anteriores casos dedujimos y nos dice que CRC tiene y cual DEBERIA tener.

4.- Por ultimo tenemos ahora una utilidad para linux llamada “Pngcrush” que igualmente nos puede identificar error y corregirlo (si le es posible)

Bastara con correr el siguiente comando.

Y esto repararia si es posible, en esta caso no lo fue, pero nos ayudo a identificar el problema tambien.

PreConclusión:

Hay un chunk IDAT que esta dañado y por ello no concuerda el CRC. Y ahora?

Alguien hasta ahorita que han leido este manual se preguntó ¿Cuantos chunks IDAT puede tener un PNG?

R = Puede contener muchos.

Osease que aqui nosotros estamos con el primer chunk IDAT que vemos. Pero veamos cuantos tiene nuestro archivo.

En Winhex busquemos la cadena “IDAT” con CTRL+F y activando “Count Occurrences” o en linux con el comando;

Bueno tenemos 96 IDATS ¿Cual es?

Esta parte seria de todas la tardada. Lo que hice fue ir checando el CRC de cada IDAT.

Por ejemplo el del primer IDAT si recuendan eran (0×00 0×00 0×20 0×00) 8192 bytes de información + 4 del nombre IDAT = 8196

Asi que el CRC de ese IDAT es:

Este IDAT Esta correcto, asi que tendremos que hacer esto con todos los demas, y el que este incorrecto analizar por que esta incorrecto y corregirlo.

Afortunadamente el error (les puedo adelantar) esta dentro de los primeros 10 IDAT (no digo cual para animarlos a que lo hagan)

Veamos este IDAT

El nombre del chunk esta bien y la longitud dice que es; (0×00 0×00 0×10 0×00) == 4096

Ahora yo rapidamente analizando los IDAT vi que habia 3 valores en longitud nada mas.

0×00002000 == 8192 (94 IDAT)
0×00001000 == 4096 ( 1 IDAT)
0x000014BF == 5311 ( 1 IDAT)

Asi que analizaremos ese IDAT.

Si la longitud es de 4096 y el nombre del IDAT ocupa 4 bytes. 4096+4 = 5000. Osea despues de 5000
bytes debe comenzar el otro IDAT.

Sin embargo despues de 5000 bytes no se encuentra el IDAT. Aqui esta el error!!!
Si partimos de la premisa de que todos los IDAT deben ser del mismo tamaño entonces vemos que la longitud de este IDAT esta mal. El siguiente IDAT se encuentra 4096 bytes despues de los 4096 ( o 5000 contando el nombre del chunk) entonces 4096+4096= 8192

Y 8192 (base 10) == 0×00002000 (base 16)

Ya lo tenemos!!!

Tenemos que corregir la longitud de ese chunk. Osea nada mas cambiar el byte 0×10 por 0×20

Lo guardamos!!! Y…….

Perfecto reto pasado!! (Borro la respuesta del reto para no aurrinarlo)

Muy dificil? Yo no sabia mucho de este formato y me tuve que documentar todo lo que les explique aqui, la verdad fuera de lo facil,dificil y las 2 horas que me tomo hacer esto, fue muy INSTRUCTIVO.

Diran, TANTO PARA ESTO? Un solo numerito? Quiero terminar con un cuento clasico (mi resumen =P) en estas ocasiones:

“Un señor tiene la mejor computadora del mundo, un dia deja de funcionar, llama al técnico y le dice que la repare.
El técnico la revisa y dice…Ya se que tiene!! Va a su maletin y saca un desarmador, aprieta un tornillo que estaba flojo y la computadora funciono. Se acerca al dueño y le dice son $1000 USD?
>Mil dolares? Por apretar un tornillo, eso yo lo pude hacer. Quiero me de una factura de sus servicios.

Apretar un Tornillo $1 USD
Saber que tornillo apretar $999 USD”

En este caso solo cambiamos un byte.

Pero lo que aprendimos fue que byte, de 784844 bytes que eran. Y considerando que valor deberia tener ya que un byte podia tener 256 posibles valores.

Asi que creo aprendimos bastante en esto. Pero lo mas importante; que un formato desconocido no nos va a detener y documentandonos bien podemos lograr cosas CHULAS!!!

Esto es todo, espero les agradara el manual y ya saben cualquier duda decirmelo.

Dedicado:
#UniversIT
Course:  Digital Forensics Fundamental Skills

Documento Análisis y Reparación de una imagen PNG corrompida [PDF]

Saludos

Atte. hecky

hecky@neobits.org

Sigueme en twitter: http://twitter.com/hecky