最直觀的是檢查文件大小。如果文件大小異常很有可能藏了東西。 題主這種情況的話， 我一般第一步是用binwalk分析文件裡的內容，比如有很多圖片，則用foremost提取。 下一步是用winhex或者010editor分析文件十六進制數據，特定的文件有它固定的文件頭文件尾，比如rar文件，文件頭必然是52 61 72 21，將可疑數據單獨提取出來。 沒有發現就再檢查一下ntfs流隱寫，或者特定的加密（OurSecret，outguess等）

具體方法是：右擊任務欄右下角的還原精靈圖標，在彈出菜單中選擇“參數設置→更改密碼”，在對話框中輸入舊密碼，胡亂填寫幾個數字如123456；在新密碼框中輸入新密碼，這裡也胡亂填了個371042，最後點“確定”按鈕。

由於我們是胡亂輸入的密碼，所以舊密碼是不會正確的，此時會彈出對話框，提示密碼不正確，注意千萬不要點擊“確定”按鈕，趕緊運行16進制文件編輯器WinHex，點“工具”菜單中的“RAM編輯器”，在打開的窗口中找到Hddgmon下的“主要內存”，這裡的Hddgmon是還原精靈的進程。

最後，在WinHex中點擊“搜尋→尋找文字”菜單選項，在打開的窗口中添入你隨便填入的假密碼371042。點“確定”之後，真正的密碼就會出現在我們面前了！

原理：輸入密碼後，該軟件會用其內部事先定義好的方法來計算真正的密碼，與輸入的密碼進行比較，這個比較的過程是在內存中進行的。由於WinHex具有優秀的內存編輯功能，因此通過在內存中搜索輸入的字符串，來找到它們。而一般情況下，真假密碼的比較離得會很近，這樣我們就可以輕鬆發現它們。