回覆列表
-
1 # 用戶1455393974258989
-
2 # 用戶575746253266220
具體方法是:右擊任務欄右下角的還原精靈圖標,在彈出菜單中選擇“參數設置→更改密碼”,在對話框中輸入舊密碼,胡亂填寫幾個數字如123456;在新密碼框中輸入新密碼,這裡也胡亂填了個371042,最後點“確定”按鈕。
由於我們是胡亂輸入的密碼,所以舊密碼是不會正確的,此時會彈出對話框,提示密碼不正確,注意千萬不要點擊“確定”按鈕,趕緊運行16進制文件編輯器WinHex,點“工具”菜單中的“RAM編輯器”,在打開的窗口中找到Hddgmon下的“主要內存”,這裡的Hddgmon是還原精靈的進程。
最後,在WinHex中點擊“搜尋→尋找文字”菜單選項,在打開的窗口中添入你隨便填入的假密碼371042。點“確定”之後,真正的密碼就會出現在我們面前了!
原理:輸入密碼後,該軟件會用其內部事先定義好的方法來計算真正的密碼,與輸入的密碼進行比較,這個比較的過程是在內存中進行的。由於WinHex具有優秀的內存編輯功能,因此通過在內存中搜索輸入的字符串,來找到它們。而一般情況下,真假密碼的比較離得會很近,這樣我們就可以輕鬆發現它們。
最直觀的是檢查文件大小。如果文件大小異常很有可能藏了東西。 題主這種情況的話, 我一般第一步是用binwalk分析文件裡的內容,比如有很多圖片,則用foremost提取。 下一步是用winhex或者010editor分析文件十六進制數據,特定的文件有它固定的文件頭文件尾,比如rar文件,文件頭必然是52 61 72 21,將可疑數據單獨提取出來。 沒有發現就再檢查一下ntfs流隱寫,或者特定的加密(OurSecret,outguess等)