הסבר על Magic Numbers וביצוע הוצאת קבצים דרך Hxd
קראו תחילה את המאמר
פורנזיקה – Cyber Forensics – הסבר על ASCII, דיסק קשיח – Sector & Clusters,Image
Magic Numbers הם ההתחלה ב Hex של קבצים והסיום שלהם, הכוונה היא כאשר אתם פותחים hxd למשל, ומסתכלים על כל ה Hex, קשה להבחין אילו קבצים נמצאים שם, Magic Numbers מסמנים את ה Head של קובץ מסוים (כמו PDF) והסיום הוא ה Trailer
נכנס לאתר https://www.garykessler.net/library/file_sigs.html ובנוסף נוריד את hxd
כעת נבצע חקירה לקובץ, את הקובץ מעבדה, תוכלו להוריד כאן
כעת פתחו אותו ב hxd
המשימה היא:
- מציאת קובץ PDF
- מציאת קובץ Jpg
- מציאת קובץ DOC
כעת נבדוק מה ה Head והTrailer של PDF
נוכל להבחין שיש Header וכמה Trailers נחפש את ה Head ע"י Ctrl +F ואז נלחץ על הלשונית Hex-values
נדביק שם את ה Head
נלחץ על Search All ונוכל להבחין שהוא מצא את ההתחלה של הקובץ
כעת נרשום בצד את ה Offset שרשום למטה בצד ימין או שמאל (תלוי שפת המחשב שלכם)
וה Offset הוא 4B3000
כעת נבדוק מה ה Trailer וכעת נלחץ על Forward שכן אנו רוצים למצוא את הסוף של הקובץ הזה ולא PDF אחר, נדביק את ה Trailer ונסמן Forward
- ה Trailer רשום לכם למעלה או באתר
לחצו על Search All
כעת נלחץ קליק ימני על "הסיום" שהוא מצא ונלחץ על Select Block
בגלל שלחצנו Select Block מהסוף, אין צורך לרשום את ה Offset בסוף, אלא רק את ההתחלה שהוא 3E4620
לחצו ok
כעת שהכל מסומן, לחצו על כל הטקסט שהוא סימן ואז Copy, פתחו דף חדש, כמו בתמונה והדביקו לשם את כל הטקסט שהעתקתם
כעת לחצו על File ואז Save As, ושמרו את הקובץ בשם file.pdf או כל שם שתבחרו , רק עם הסיומת PDF
ברגע שתפתחו את הקובץ תגלו שהצלחתם לחלץ את קובץ ה PDF
JPG
כעת נבדוק מה Header של jpg נבחין כי הוא
FF D8 FF E0 00
נבצע שוב חיפוש של ה Hex ונרשום בצד את ה Offset שהוא 47000
כעת נחפש את ה Trailer שהוא FF D9 ונלחץ על Forward וחיפוש
כעת קליק ימני ואז Select Block
נזין רק ב Start Offset (כיוון שה End-Offset כבר רשום) ובו נזין 47000
העתיק את כל הסימון וניצור דף חדש, נדביק שם את כל הטקסט
ולסיום, התמונה היא – הלוגו של האתר
Docx
את החילוץ של Docx תוכלו לבצע בעצמכם!, בהצלחה
רמז: 50 4B 03 04
05 06
