Visualizza messaggio singolo
Vecchio 14-07-2014, 01.39.14   #85
Andrea60
Junior Member
 
Registrato: 11-07-2014
Messaggi: 65
Andrea60 promette bene
Rif: File criptati e modificati nell'estensione finale con .enc.rtf

Quota:
Inviato da AMIGA Visualizza messaggio
Non è possibile, la differenza ci deve essere, almeno così era nelle infezioni precedenti dove ho confrontato il file infetto e quello originale. Se la dimensione non cresce significa che i file non sono stati compressi e i caratteri del testo hanno sostituito pari pari quelli del linguaggio macchina.


No, quello che ho eliminato era semplicemente il testo, le stringhe contenevano solo caratteri e frasi leggibili, nessuna parte in linguaggio macchina era presente, quello era posizionato a ridosso del testo ascii.


No nella seconda parte c'erà solo quello che rimaneva del linguaggio macchina e non era per niente nascosta, al programma esadecimale non si può nascondere nulla !!!

Secondo me l'immagine non è più recuperabile perchè corrotta, ma hai letto il link postato, QUESTO

Ma non viene ignorato dall'editore esadecimale AZap da me utilizzato, a lui non si può nascondere nulla !

Ho confrontato un vecchio film del 1926, METROPOLIS.avi nei due file:

originale: 1,35 GB (1.457.033.216 byte)
dimensioni su disco: 1,34 GB (1.448.837.120 byte)

bloccato: 1,35 GB (1.457.036.668 byte)
dimensioni su disco: 1,35 GB (1.457.037.312 byte)

la differenza fra i due file del primo valore è di 3.452 byte (3,452 kb)
-------------------------------------------------

Altro film LEONARDO.avi

originale: 3,04 GB (3.268.777.648 byte)

bloccato: 3,04 GB (3.268.781.068 byte)

la differenza fra i due file è di 3.420 byte (3,420 kb), ossia leggermente di meno del video di Metropolis.

Evidentemente quella piccola differenza in più nei file "bloccati" è l'aggiunta della pagina in 3 lingue, ovvero circa 3,4 kb, che il malware ha quindi potuto rapidamente aggiungere, diciamo sovrapporre, come si fa con la sovrascrittura su un disco, ma il file non è stato ancora cancellato, dunque è ancora ripristinabile!
Non capisco però perchè ci sia questa piccolissima differenza, 32 byte fra i due file, forse dipende dal numero delle lettere del titolo che è diverso.
Andrea60 non è collegato   Rispondi citando