把注册码藏起来

baitang36

caoliu023 发表于 2022-4-30 10:27
数字不在文件里面？

文件长度是0字节，文件里面没东西。藏在文件外面。

nzl1116

修改了和文件有关的向量表?

baitang36

nzl1116 发表于 2022-4-30 13:36
修改了和文件有关的向量表?

没有，改了文件属性。把数据藏到文件外面了。

f4800

这技术 捉摸不透了   0 文件还能藏数字？

baitang36

f4800 发表于 2022-4-30 23:13
这技术 捉摸不透了   0 文件还能藏数字？

走私船喜欢把货物挂在船外面，原理是一样的。

alexmai

估计隐藏信息同：programdata文件夹名字有联系

gdfyhao

思路非常棒，好好学习一下

baitang36

烟盒迷唇 发表于 2022-4-30 07:12
只能藏整数吗？能藏字符串吗

http://bbs.mjtd.com/thread-185360-1-1.html看这里，可以藏文件

编程小子

首先，我在文件里隐写的是数字114514。在CAD里能正常显示。

然后，为了监控读写，我把文件改成了abcde.txt，内容还是114514，同时用火绒剑监控CAD的读写操作。在过滤掉所有无效操作后，确认是通过acad.exe对abcde.txt做了读写操作。

既然火绒剑显示写入了4字节，所以怀疑有补零操作。
114514对应的十六进制是01BF52，而火绒剑显示写入了4字节，所以怀疑有补零操作，即最后的十六进制应该是0001BF52。

既然不在文件里，那这段数据很有可能在元数据里。
用取证工具打开硬盘，找到这个文件所在扇区的数据，很快就发现了52BF01，这就是前面114514的十六进制倒置后的产物。


后来又试了三个数字，一个是32位最大整数4294967295，软件报错。然后试了16777215（FFFFFF），用同样的办法取证到了

最后试了16777214（FFFFFE），用同样的办法取证到了

不过这个为什么没有倒置，这个就不大清楚了。但大致位置应该是正确的

baitang36

编程小子 发表于 2022-5-2 23:19
首先，我在文件里隐写的是数字114514。在CAD里能正常显示。

然后，为了监控读写，我把文件改成了abcde ...

厉害了，