電子數據現場取證小課堂丨 當事人用圖片隱藏涉案文件,怎麼破解?

2021-01-09 中國工商出版社

電子數據是一種新型證據類型,越來越多的行政案件需要在案發現場對電子數據進行取證。2019年4月1日施行的《市場監督管理行政處罰程序暫行規定》(國家市場監督管理總局令第2號)第二十三條明晰了行政處罰一般程序中的電子數據證據規則。掌握正確的電子取證技巧、科學運用電子證據已成為執法辦案重要和關鍵的一環。

我們摘取孫百昌博士新書的精彩內容

和大家分享電子數據現場取證要點技巧

(更多介紹請戳

「一鍵get」電子數據取證全流程)

8.1 用圖片隱藏涉案文件

案例 4 :某局接到舉報,稱有一個涉嫌傳銷的層級名單。該局執法人員依據《禁止傳銷條例》第十四條在現場扣押了當事人硬碟等物證。回到單位後,執法人員先按照禁止使用電子數據證據原件的要求,對當事人硬碟做了鏡像,分析鏡像文件並沒有發現裡面有舉報人所稱涉案文件。綜合各種信息情節,高度懷疑當事人隱藏了涉案文件。再對鏡像文件分析後,發現其中有一些圖片文件較大,根據經驗,涉案文件可能隱藏於此,故對較大的圖片文件進行了破解,從中找到了涉嫌傳銷的層級名單。

他們是怎麼做到的呢?下面介紹用圖片隱藏涉案文件及破解方法。

圖片隱藏涉案文件使用起來非常簡單,隱藏效果非常好,執法人員也非常容易掌握破解方法。辦案中,有的涉案文件找不到,就有可能被隱藏起來了。

主要有兩種隱藏模式:在圖片後隱藏和在圖片中隱藏。第一種模式是在圖片文件「後面」隱藏,這種方法也可以使用其他文件作為隱藏載體,但隱藏到圖片中不容易被發現;第二種模式是把信息直接加載在圖片中隱藏(見8.2 節)。

8.1.1 把涉案文件藏到圖片文件「後面」的方法

當事人把涉案文件藏到圖片中,且以後能打開這個文件,這就需要先把需隱藏的文件壓縮,然後再隱藏。

下面演示一下怎樣把名為「通信名單.xls」的文件藏到圖片文件「風景.png」「後面」。

1. 先使用圖8-1 中的壓縮軟體(圖中都是壓縮軟體,可選擇其中之一使用)把「通信名單.xls」壓縮為「通信名單.zip」的壓縮文件。

注意:一定要把待隱藏的文件轉為壓縮文件,否則後面的提取有可能會失敗。

如果需要把多個文件壓縮成一個壓縮文件,例如,把圖 8-2 中的兩個文件壓縮成一個壓縮文件的方法為(多個文件也類似):按住滑鼠左鍵同時選上「公司文件.docx」和「通信名單.xls」後,點滑鼠右鍵,點選「添加到『文件.zip』(T)」即可完成壓縮,獲得壓縮文件「文件.zip」。

圖8-1 各類壓縮軟體

圖8-2 壓縮兩個文件為一個文件的方法

2. 準備一個名為「風景.png」(也可以是其他名稱,如「兔兔貓.png」)的圖片文件,然後把圖片文件「風景.png」和「通信名單.zip」都放在桌面(圖8-3)。

注意:一定要使用圖片文件,格式最好是「png」,否則後面提取可能會失敗。

圖8-3 把「風景.png」和「通信名單.zip」都放在桌面

3. 按「Win+R」輸入「cmd」調出命令窗口,在命令窗口逐次輸入以下兩個命令(圖8-4):

cd Desktop

copy /B 風景.png+ 通信名單.zip= 風景2.png

前面的風景.png 文件是起隱藏作用的文件,後面的通信名單.zip 文件是被隱藏的文件。其中「png」和「 zip」分別是圖片文件和壓縮文件的擴展名。寫上述兩個命令時注意其中有空格。

圖8-4 在命令窗口輸入兩個命令

按回車鍵,結果見圖8-5。「通信名單.zip」已經藏到圖片文件「後面」了。

一般人只能看到圖片,看不到隱藏的「通信名單.zip」文件。

圖8-5 風景2.png

8.1.2 找出藏到圖片文件「後面」的涉案文件

找出藏到圖片文件「後面」的涉案文件的方法很簡單。把「風景2.png」的擴展名「png」改為「zip」,然後解壓縮即可。改擴展命時會有提示,直接點「是」,見圖8-6、圖8-7。

圖8-6 改擴展名的提示

圖8-7 解壓縮文件

打開解壓縮後的文件夾,即可看到被隱藏的文件(圖8-8)。

圖8-8 打開文件夾可看到被隱藏的文件

8.2 用圖片隱藏涉案信息

8.2.1 把涉案信息藏到圖片中的方法

把涉案信息藏到圖片中就是所謂的「信息隱寫」。用圖片進行信息隱寫是將涉密信息隱藏到正常圖片中。隱寫方法多種多樣,利用圖片隱寫信息僅是其中之一。

圖片隱寫信息需要特定軟體,這樣的軟體非常多。基本原理就是把涉密信息按照該軟體預定的規則重新編碼。因此,用什麼軟體進行的隱寫,也只能由原軟體恢復。

ImageHide 是一款應用廣泛、簡單實用的圖片隱寫信息軟體,可以將密碼、通信錄等簡單信息直接隱藏在圖片中,支持bmp 格式和png 格式文件,不需要安裝即可使用。

ImageHide 使用方法分為3 步:導入圖片、寫入信息、保存。具體演示如下:

1. 導入圖片。打開ImageHide 軟體, 點擊菜單中的第一個圖標Loadimage(打開)導入圖片。作為案例,我們把名為「動物.bmp」的圖片導入ImageHide,見圖8-9。

圖8-9 導入圖片「動物.bmp」

2. 寫入信息。在圖片下方輸入框中輸入需隱寫的內容,如輸入「這裡是機密的信息哦:密碼123456」,然後點擊菜單中的Write Date(寫入,這點很重要,必須點擊此處信息才能寫入圖片中),將這段文字寫入圖中,寫入後軟體下面有已經寫入的提示(「Data writen to Image OK !」數據已經寫入圖片),見圖8-10。

圖8-10 寫入需要隱藏的信息

3. 保存。點擊Save image(保存)即可保存圖片,點擊Close(關閉)關閉圖片。這時如果用其他軟體打開圖片,僅能看到圖片,看不到隱藏在其中的信息(圖8-11)。

圖8-11 已經被隱入信息的圖片

8.2.2 找出藏到圖片中的涉案信息

辦案中,對懷疑有信息隱寫的圖片,可考慮使用ImageHide 解密。用ImageHide 隱入的信息,必須還用ImageHide 軟體打開圖片,用其他軟體不可以。

方法分為2 步:導入圖片、讀取。

1. 導入圖片。打開ImageHide 軟體,點擊菜單中的第一個圖標Load image(打開)導入圖片。我們把圖 8-11 已經被隱入信息的圖片「動物.bmp」導入ImageHide。

2. 讀取。點擊Read Data(讀取)即可看到被隱入的信息。

今天的小課堂,你學會了嗎?

我們明天的小課堂內容是

「如何恢復涉案電腦中被刪除的文件?」

請持續關注哦!

以上內容節選自《現場取證 電子數據取證技術篇》一書。欲知更多電子數據取證操作實務,請見

製作單位:中國工商出版社 圖書發行部、圖書編輯部

相關焦點

  • 建設現場執法取證系統,提高行政執法效能
    現場執法取證系統為「現場執法全程音像記錄」的業務需求而設計,主要由執法記錄、單兵執法、車載取證、臨時布控四個子系統組成。其中執法記錄和單兵執法系統由城管人員配置,車載取證、臨時布控可由城管執法車輛配置,車輛上安裝車載無線監控平臺或移動布控球,實時記錄執法過程,並將執法現場的情況傳送至指揮中心便於遠程指揮和調度。
  • 電腦怎麼隱藏文件夾? 手把手教你如何隱藏電腦文件夾
    電腦怎麼隱藏文件夾? 手把手教你如何隱藏電腦文件夾時間:2017-08-03 19:24   來源:三聯   責任編輯:沫朵 川北在線核心提示:原標題:電腦怎麼隱藏文件夾? 手把手教你如何隱藏電腦文件夾 朋友會向你借電腦,但是電腦上有一些文件又不想讓其他人看到。該怎麼辦呢?
  • 掌趣科技吃「破解版」官司:500臺涉案電腦被法院證據保全
    7月27日報導 文/麻曉超「怎麼還要付費啊?」我給你個破解版的下載地址吧!」這個簡單的對話折射了一個普遍現象。「破解版」一詞暗藏了另闢蹊徑的喜悅。然而A股遊戲公司掌趣科技正經歷喜悅後的煩惱。因被Adobe、Autodesk兩家公司起訴侵犯著作權,掌趣科技辦公場所內近500臺計算機中涉案軟體使用信息日前被北京智慧財產權法院(以下簡稱法院)依法證據保全,法院26日晚對外公布了這一消息。
  • iPhone取證的通用方法
    在本文中,我們將以iPhone機型為例,說明如何提取數據並儘可能介紹一個通用的提取方法。 數據保存 了解數據保存是進行數據提取的前提,你必須確保所有型號的iPhone在數據提取時,處於相同的提取界面,並且在你持有該取證設備期間沒有數據被修改或丟失。
  • 逐一清點、登記、拍照……紀委監委怎麼處理涉案款物?
    紀委監委怎麼處理涉案款物?片中細節帶你看在專題片《國家監察》第一集裡,透露了艾文禮當時到中央紀委國家監委主動投案的情形:帶來了三個箱子,有行李箱也有紙箱,還有編織袋,都是他過去收受的一些涉案款物和其他的禮品、禮金。
  • 電子數據如何在線驗真偽?微版權通過完整性驗證讓電子證據更可靠
    、身份認證信息、電子交易記錄、通信記錄、登錄日誌等信息;(四)文檔、圖片、音頻、視頻、數字證書、電腦程式等電子文件;(五)其他以數位化形式存儲、處理、傳輸的能夠證明案件事實的信息。一、完整性校驗,審查電子數據的真實性電子數據由於其易篡改和易丟失的特性,在法庭上向法官、侵權者舉證示證時,容易被侵權者質疑電子證據的真實性。在保障取證固證技術專業可靠的基礎上,對電子數據進行完整性校驗可以有效證明數據未被篡改,證明數據的真實性。
  • 電子數據存證的需求,是如何產生的?
    社會生活模式的改變,使得不同於以往的紙筆的書面形式,溝通交流的網際網路化使得大量的數據以網際網路的線上文字、聊天記錄、通話記錄、電子文本等各類形式存在與互動使用,愈發趨於無紙化。導致在很多司法訴訟的過程中所涉及到的電子數據比重越來越大,開始步入「電子證據時代」。
  • 電子證據實驗室助力辦案
    【高密市檢察院】 電子證據實驗室助力辦案> 王培友 張明文     本報訊(通訊員王培友 張明文)今年以來,山東省高密市檢察院致力於推進電子證據實驗室建設
  • 「e公司微訪談」美亞柏科:電子數據取證領域龍頭是如何鍛造的?
    來源:證券時報網證券時報e公司訊,美亞柏科是國內電子數據取證領域龍頭企業、網絡空間安全專家,主要服務於國內各級司法機關以及行政執法部門。2018年,公司將人工智慧和大數據這兩大技術與公司持續鑽研的電子數據取證、網際網路搜索、網絡空間安全技術進行有效融合,進一步優化和提升了公司主營業務體系「四大產品」和「四大服務」的競爭優勢。2日下午3點,證券時報·e公司記者走進美亞柏科,公司高級副總裁兼董事會秘書蔡志評做客證券時報·e公司微訪談。
  • ai文件用什麼軟體打開_ai文件怎麼打開
    打開APP ai文件用什麼軟體打開_ai文件怎麼打開 胡哥 發表於 2012-10-16 11:31:57 後輟為ai的文件是illustrator軟體(在廣告、印刷包裝方面使用的軟體)製作的矢量圖文件,而矢量圖的優點是如何放大圖像都不會產生馬塞克現象,即不會虛。
  • 微市中·法課堂:承包地被徵用,補償標準如何定?合同約定or村集體...
    微市中·法課堂:承包地被徵用,補償標準如何定?合同約定or村集體決議?接下來,就跟隨小編來看一起案例吧!因此,法院根據合同約定,結合涉案林地內的樹木數量、品種、種植時間長短,依法判決被告村委會給付原告侯某補償款16萬餘元。法官說法我國合同法規定,當事人對合同條款的理解有爭議的,應當按照合同所使用的詞句、合同的有關條款、合同的目的、交易習慣以及誠實信用原則,結合上下文的意思、雙方利益的平衡等因素綜合分析確認條款的真實意思。
  • 每日一「典」丨締結婚姻關係,當事人應當完全自願
    每日一「典」丨締結婚姻關係,當事人應當完全自願 2020-12-01 12:01 來源:澎湃新聞·澎湃號·政務
  • 掃描的PDF文件怎麼轉換成JPG格式圖片
    但是現今我們已經不僅僅滿足於閱讀PDF文件,更多的是需要對PDF文件進行編輯處理。  如果掃描的PDF文件內容為圖片,需要編輯該掃描件的內容,我們應該怎麼辦呢?這個時候我們可以將PDF掃描文件進行格式轉換處理,比如轉換成圖片再進行編輯。今天小編就和大家分享:掃描的PDF文件轉換成JPG格式圖片的方法。  第一種方法,使用Adobe Reader軟體。
  • AI犯罪細節首次披露:你的個人信息這樣被破解
    在他的「培養」下,NID破解驗證碼的能力越來越強。  錢立鋒告訴《財經》記者,通過運用人工智慧機器深度學習技術訓練機器,楊柯讓NID如AlphaGo一樣自主操作識別,有效識別圖片驗證碼,輕鬆繞過網際網路公司設置的帳戶登錄安全策略——驗證碼。
  • Win10怎麼關閉隱藏刪除小娜? win10關閉小娜的方法
    Win10怎麼關閉隱藏刪除小娜? win10關閉小娜的方法時間:2017-07-27 15:30   來源:三聯   責任編輯:沫朵 川北在線核心提示:原標題:Win10怎麼關閉隱藏刪除小娜?win10關閉小娜的方法 在Win10系統中小娜和搜素功能是合在一塊的,但是小娜不僅使用率不高,還會影響系統的運行速度,下面小編帶來了win10關閉小娜的方法,一起來看看吧! 操作步驟: 1、使用Win+S快捷鍵打開小娜界面,選擇左側的齒   原標題:Win10怎麼關閉隱藏刪除小娜?
  • 山東即墨回應:部分海參養殖戶使用敵敵畏,有當事人被採取強制措施
    而恒生源是當地養殖規模較大的基地,基地內的養殖戶也承認經常要用到敵敵畏,「敵敵畏,一個池子我使三箱、四箱,魚蝦都死了。」對此,山東省農業農村廳回應稱,已連夜派出由廳負責同志帶隊,執法人員、有關專家組成的調查組趕赴即墨,會同青島市有關部門組成聯合工作組,第一時間調查核實。調查組對違規使用農藥清塘、養殖環節違規用藥等行為進行現場勘查,調查取證,確認行為後將依法依規嚴肅處理,絕不姑息。
  • ...很「值錢」|田珍祥|鄭州|孫蕊|金水區|法院|電子數據|微信|何永鵬
    除了轉帳記錄,文字、圖片、視頻等電子信息也都被記錄。這類電子證據能否成為打官司的「呈堂證供」?新規2019年12月26日,最高人民法院發布了新修正的《最高人民法院關於民事訴訟證據的若干規定》,該規定將自2020年5月1日起施行。