• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex

Продолжение: Форензика анализа Thumbs и Thumbcache в Windows
В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как
Иногда, когда редактируется фотография, исходное изображение редактируется, но эскиз нет.
Теория: все расширения файлов имеют свои собственные и .
Мы рассмотрим сигнатуру *.jpg файла которая [FF D8 FF]
В примере у нас испорченный файл Viber3.jpg, запускаем WinHex и открываем в нем наш файл
Cтатья WinHex1.jpg
Далее ищем второе вхождение (но это может быть и первое вхождение, если файл в начале испорчен) [FF D8 FF]
Ctr+Alt+X ставим значение без пробелов FFD8FF
Cтатья WinHex2.jpg
Выбираем второе вхождение
Cтатья WinHex3.jpg
Выбираем и ставим начало блока Alt+1
Cтатья WinHex4.jpg
теперь ищем [FF D9] окончание блока Ctr+Alt+X ставим значение без пробелов FFD9
получим данный результат
Выбираем и ставим конец блока Alt+2
Cтатья WinHex5.jpg
Мы теперь видим выбранную нами информацию (блок), далее
"Правка"->"Копировать блок"->"В новый файл"
Cтатья WinHex6.jpg
Cтатья WinHex7.jpg
И вот что мы получаем
Cтатья WinHex8.jpg
 
Последнее редактирование:
W

wittmann404

Ждём продолжения про WinHex.
Где можно посмотреть информацию об окончании сигнатуры файла?
 
Последнее редактирование модератором:

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Ждём продолжения про winhex) где можно посмотреть информацию об окончании сигнатуры файла?
По каждому интересующему формату и раскладке данных нужно смотреть стандарты, спецификации (особенно видео файлы - таким образом и созданны программы по восстановлению) и ниже на картинке пример (сигнатура окончания файла jpg)
сигнатура окончания файла jpg.jpg
 
W

wittmann404

А где стандарты смотреть?
Просто я думал что определённый ресурс есть где все стандарты есть
 
Последнее редактирование модератором:

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
А где стандарты смотреть?
Вот этот момент каждый производитель/автор своего расширения описывает свои стандарты и методику своего расширения, т.е в одном месте не будет (хоть я в статье и дал две ссылки на основные, и в ответе Вам еще дал ссылку)
Вот как пример , а там уже расписано
Magic numbers Hex: xx xx xx xx 6D 6F 6F 76 ASCII: ....moov Hex: xx xx xx xx 66 72 65 65 ASCII: free
Ещё раз посмотрите ссылки в статье и в ответе Вам.
 
  • Нравится
Реакции: Vertigo

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
130
Здравы Будьте, Гуру форензики и взаимодействия с программными паттернами! Ссылочки для ресёча:
 
  • Нравится
Реакции: centr, Marylin и Sunnych

DecA

New member
01.11.2021
1
0
BIT
0
Подскажите, а какое специализированное forensic ПО умеет самостоятельно извлекать и отображать эскизы из jpeg файлов (учитывая то, что эскизы могут храниться и не jpeg формате)?
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Подскажите, а какое специализированное forensic ПО умеет самостоятельно извлекать и отображать эскизы из jpeg файлов (учитывая то, что эскизы могут храниться и не jpeg формате)?
вот тут посмотрите
и вот
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!