北亚数据恢复——文件打开报错数据恢复
因篡改的异或加数只有一个字节,如果与大小相关,极有可能是对文件大小mod 256后关系对应,于是在excel中计算所有文件大小值的mod 256,如下图:
北亚数据恢复——文件打开报错数据恢复
对mod 256的值进行排序,excel可能可以直接实现,不过至少可以复制整列,再以数字方式粘贴:
北亚数据恢复——文件打开报错数据恢复
排序后如下图:
北亚数据恢复——文件打开报错数据恢复
对相同mod 256的文件进行篡改验证,未发现不符合规律者,基本断定篡改值与文件大小mod 256的值存在完全映射关系。对所有可能做抽样分析后,得到篡改异或加数的生成规律:
