A detecção de
pacotes esteganografados se chama estegoanálise. O método
mais simples de detectar a modificação de arquivos é
a comparação com os originais. Para detectar que uma
informação foi incluída na interface de um website,
o analista pode, por exemplo, guardar um histórico de
cópias de interface do site que ele saiba que estão
“limpas” e compará-las com a que está sendo
utilizada atualmente. As diferenças (assumindo que o layout
é o mesmo) irão compor a “carga útil”
para a análise.
Em geral, o uso de uma
imensa taxa de compressão, fará com que a
detecção da esteganografia se torne muito difícil
(mas não impossível). Enquanto erros de compressão
sejam sempre ótimos lugares para ocultar dados, a alta
compressão reduz a quantidade de dados disponíveis para
esconder a “carga útil”, aumentando por sua vez a
densidade de dados cifrados e facilitando assim a
detecção (podendo chegar até mesmo ser notada pela
simples observação casual).