Продолжение: Форензика анализа Thumbs и Thumbcache в Windows
В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как
Иногда, когда редактируется фотография, исходное изображение редактируется, но эскиз нет.
Теория: все расширения файлов имеют свои собственные
Мы рассмотрим сигнатуру *.jpg файла которая [FF D8 FF]
В примере у нас испорченный файл Viber3.jpg, запускаем WinHex и открываем в нем наш файл
Далее ищем второе вхождение (но это может быть и первое вхождение, если файл в начале испорчен) [FF D8 FF]
Ctr+Alt+X ставим значение без пробелов FFD8FF
Выбираем второе вхождение
Выбираем и ставим начало блока Alt+1
теперь ищем [FF D9] окончание блока Ctr+Alt+X ставим значение без пробелов FFD9
получим данный результат
Выбираем и ставим конец блока Alt+2
Мы теперь видим выбранную нами информацию (блок), далее
"Правка"->"Копировать блок"->"В новый файл"
И вот что мы получаем
В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как
Ссылка скрыта от гостей
Иногда, когда редактируется фотография, исходное изображение редактируется, но эскиз нет.
Теория: все расширения файлов имеют свои собственные
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
.Мы рассмотрим сигнатуру *.jpg файла которая [FF D8 FF]
В примере у нас испорченный файл Viber3.jpg, запускаем WinHex и открываем в нем наш файл
Ctr+Alt+X ставим значение без пробелов FFD8FF
получим данный результат
Выбираем и ставим конец блока Alt+2
"Правка"->"Копировать блок"->"В новый файл"
Последнее редактирование:
