Quota:
Inviato da AMIGA
Non è possibile, la differenza ci deve essere, almeno così era nelle infezioni precedenti dove ho confrontato il file infetto e quello originale. Se la dimensione non cresce significa che i file non sono stati compressi e i caratteri del testo hanno sostituito pari pari quelli del linguaggio macchina.
No, quello che ho eliminato era semplicemente il testo, le stringhe contenevano solo caratteri e frasi leggibili, nessuna parte in linguaggio macchina era presente, quello era posizionato a ridosso del testo ascii.
No nella seconda parte c'erà solo quello che rimaneva del linguaggio macchina e non era per niente nascosta, al programma esadecimale non si può nascondere nulla !!!
Secondo me l'immagine non è più recuperabile perchè corrotta, ma hai letto il link postato, QUESTO
Ma non viene ignorato dall'editore esadecimale AZap da me utilizzato, a lui non si può nascondere nulla !
|
Ho confrontato un vecchio film del 1926, METROPOLIS.avi nei due file:
originale: 1,35 GB (1.457.033.216 byte)
dimensioni su disco: 1,34 GB (1.448.837.120 byte)
bloccato: 1,35 GB (1.457.036.668 byte)
dimensioni su disco: 1,35 GB (1.457.037.312 byte)
la differenza fra i due file del primo valore è di 3.452 byte (3,452 kb)
-------------------------------------------------
Altro film LEONARDO.avi
originale: 3,04 GB (3.268.777.648 byte)
bloccato: 3,04 GB (3.268.781.068 byte)
la differenza fra i due file è di 3.420 byte (3,420 kb), ossia leggermente di meno del video di Metropolis.
Evidentemente quella piccola differenza in più nei file "bloccati" è l'aggiunta della pagina in 3 lingue, ovvero circa 3,4 kb, che il malware ha quindi potuto rapidamente aggiungere, diciamo sovrapporre, come si fa con la sovrascrittura su un disco, ma il file non è stato ancora cancellato, dunque è ancora ripristinabile!
Non capisco però perchè ci sia questa piccolissima differenza, 32 byte fra i due file, forse dipende dal numero delle lettere del titolo che è diverso.