Trao đổi với tôi

http://www.buidao.com

2/24/10

[Virus] Hiding data in .docx file

Hiding data in .docx file
DungCoi - VirusVN
Tào lao dẫn
2 hôm nay DungCoi bị cảm nặng rồi, 1 em gái dễ thương quá làm DungCoi bỏ ráo tất thảy công việc thường ngày, chỉ ráng để cái nick của mình có thể online chỉ để chat với em thôi :”>
Phòng trọ bị mất mạng mấy ngày nay, ráng cầm cự để online bằng cái di động của thằng bạn để duy trì liên lạc với em từ hôm qua đến giờ, tới sáng nay do tốc độ chậm quá hay sao ấy mà YM không vô được nữa.
Lặm cặm chạy ra mấy tiệm trà sữa khu ĐH Quốc Gia để tìm chỗ online.
Chán, Wifi của họ bị hỏng.

thôi. Lại tiếp tục nghịch để giết thời gian cho hết ly sinh tố vừa gọi rồi chạy ra sài tạm máy ở mấy cái tiệm net thôi.

Nhập

Có lẽ hầu hết chúng ta đều biết, định dạng .docx bản chất là một tập tin nén theo định dạng ZIP chẳng qua là khác cái đuôi có khác tý chút. Nói chung chung vậy thôi, chứ cũng còn vài điểm khác nhau, nhưng nếu bạn làm thử theo thao tác sau thì sẽ kiểm chứng được MS Word 2007 có thể bỏ qua vài thao tác kiểm tra, chúng ta có thể tận dụng yếu tố này để làm nhiều việc hay.
Nghịch .docx cơ bản nhé
Step 1 : Chọn 1 tập tin định dạng .docx bất kỳ (Nhớ là phải đúng chuẩn mà Word 2007 mở được nhé).
Step 2 : Xả nén nó ra rồi lại nén lại các thứ vừa xả nén đó, bạn sẽ nhận ra cái tập tin Zip này khác với tập tin .docx ban đầu rất nhiều
Step 3 : Đổi đuôi tập tin .zip vừa nhận thành .docx
Step 4 : Mở tập tin .docx mới này, chúng ta vẫn thấy như nội dung ban đầu.
Vài hình ảnh minh họa








Okie. Chắc chắn sau trò vừa rồi, bạn có thể đã hiểu ý của mình rồi
Công việc khá đơn giản, chúng ta xả nén một tập tin .docx muốn đưa dữ liệu vào, tìm nơi thích hợp để đưa tập tin muốn ẩn vào trong tập tin đó và đặt nó vào. Lại nén và giữ đuôi .docx
Bạn cũng nên lưu ý, thường bạn nên đổi tên đuôi file đưa vào thành .png thì Word 2007 sẽ bớt cảnh báo hơn. Còn nếu bạn để y xì các định dạng khác mà cóp dán lung tung thì hay bị cảnh báo lắm.

đây chỉ là bước đầu. Do lợi thế của Word 2007 là dùng XML nên chúng ta còn rất nhiều trò hay dạng như chèn thêm 1 trường vào định dạng xml để ẩn dữ liệu …etc

À, cuối cùng có cái này cho các bạn giải trí. Các bạn thử tìm dữ liệu bị ẩn trong cái file word mình đính kèm nhé



mấy cái khác từ từ tính tiếp. Ly trà sữa đã hết, DungCoi tạm dừng ở đây

Download: http://www.mediafire.com/?13zum1egmny

@sr anh em, mình nhét hàng kiểu của mình thì đúng là chơi khó anh em thật , đúng là ai nhét thì chỉ người ấy mới biết đường mà mò.

Giờ post bài giải

Bài giải :

Sau khi xả nén, bạn sẽ không tìm ra ngay file .docx . Nó còn bị ẩn trong một tập tin .png khác :”> . Anh em tha mạng.

Step 1 : Xả nén tập tin docx mà chúng ta đề ra mà chúng ta vừa tải về (Bằng cách đổi tên đuôi như bên trên hướng dẫn).



Step 2 : Mò vào \word\media
Ta thấy có tập tin : image1.png
Mở tập tin này bằng 1 trình Editor tốt như HexWorkshop, WinHex…

Step 3 : Tìm và sẽ thấy 1 đoạn như sau :



Step 4 : Như chúng ta đã biết một tập tin nén ZIP có bắt đầu bắt ký tự PK. Như đã nói trong bài, dữ liệu được dấu là một tập tin word 2007 khác, bản chất nó cũng là một file nén theo định dạng ZIP, như vậy ở đây chúng ta cần copy từ byte có ký tự PK về sau, chúng ta kéo cho đến cuối thì thấy câu : ok. This is it. Don't forget comment on VirusVN .
Tất nhiên chúng ta bỏ luôn câu này mà không copy.



Step 5 : Dán nội dung vừa thu được vào 1 file mới. Lưu chúng lại theo định dạng .docx
Nháy đúp để xem kết quả, chúng ta sẽ thu được 1 văn bản word với nội dung như sau :


Other method :


Ở bên trên, DungCoi đã nói về việc khi biết rõ dữ liệu ẩn nằm ở đâu. Sau đây xin trình bày chiến thuật mò mẫm nếu như chưa biết. Tất nhiên là cũng phải có gợi ý nho nhỏ.

1. Chúng ta luôn biết trong mỗi file nén luôn vẫn còn lưu lộ thiên các string tên file ban đầu để sau này phục hồi lại.

2. Một tập dịnh dạng DOCX là một file nén luôn có tập tin chính mang tên : [Content_Types].xml

3. Gợi ý bên trên đề ra là còn 1 tập tin Word khác trong tập tin này

Như vậy : Chúng ta có thể sử dụng tính năng search string trong nguyên thư mục sau xả nén để tìm string [Content_Types].xml (Tất nhiên là với hy vọng là nó chưa bị mã hóa, chứ mã hóa rồi thánh thần cũng khóc).

Chúng ta thử :
1. DungCoi dùng Notepad++ để tìm chuỗi trong toàn thư mục sau xả nén của tập tin đề ra.



2. Chúng ta nhận được kết quả là có tồn tại chuỗi này trong tập tin ở đường dẫn : \word\media\image1.png



Okie. Như vậy chúng ta đã xác định dữ liệu DungCoi núp ở đâu. Sau đó làm tương tự các thao tác sau giống các bước bên trên để trích xuất tập tin ẩn.