caoliu023 发表于 2022-4-30 10:27
数字不在文件里面?
文件长度是0字节,文件里面没东西。藏在文件外面。
修改了和文件有关的向量表?
nzl1116 发表于 2022-4-30 13:36
修改了和文件有关的向量表?
没有,改了文件属性。把数据藏到文件外面了。
这技术 捉摸不透了 0 文件还能藏数字?
f4800 发表于 2022-4-30 23:13
这技术 捉摸不透了 0 文件还能藏数字?
走私船喜欢把货物挂在船外面,原理是一样的。
估计隐藏信息同:programdata文件夹名字有联系
思路非常棒,好好学习一下
烟盒迷唇 发表于 2022-4-30 07:12
只能藏整数吗?能藏字符串吗
http://bbs.mjtd.com/thread-185360-1-1.html看这里,可以藏文件
首先,我在文件里隐写的是数字114514。在CAD里能正常显示。
然后,为了监控读写,我把文件改成了abcde.txt,内容还是114514,同时用火绒剑监控CAD的读写操作。在过滤掉所有无效操作后,确认是通过acad.exe对abcde.txt做了读写操作。
既然火绒剑显示写入了4字节,所以怀疑有补零操作。
114514对应的十六进制是01BF52,而火绒剑显示写入了4字节,所以怀疑有补零操作,即最后的十六进制应该是0001BF52。
既然不在文件里,那这段数据很有可能在元数据里。
用取证工具打开硬盘,找到这个文件所在扇区的数据,很快就发现了52BF01,这就是前面114514的十六进制倒置后的产物。
后来又试了三个数字,一个是32位最大整数4294967295,软件报错。然后试了16777215(FFFFFF),用同样的办法取证到了
最后试了16777214(FFFFFE),用同样的办法取证到了
不过这个为什么没有倒置,这个就不大清楚了。但大致位置应该是正确的
编程小子 发表于 2022-5-2 23:19
首先,我在文件里隐写的是数字114514。在CAD里能正常显示。
然后,为了监控读写,我把文件改成了abcde ...
厉害了,