为什么要做电子数据鉴定?看不懂、有疑问。其实还有第三个原因,也是一个非常棘手的问题。 今天,小编在浏览PoC||GTFO澳大利亚镜像站点时,下载了最新一期的期刊文件。文件内容乏善可陈,但其中描述的一个现象,值得给大家报告一下。 大家可以从下面地址下载这个文件: https://pan.baidu.com/s/1--zMji44jqMLG7x75S_9QA 提取码:u6rt 动手做做下面的实验。 1、把扩展名分别修改为zip、html,生成两个新的文件。 2、分别打开这三个文件,看看有什么发现? 3、打开pdf文件,内容大致如下: ▲图 pocorgtfo19.pdf长达80页,上图是其第一页 4、打开zip文件,内容大致如下: ▲图 pocorgtfo19.zip是33个文件的压缩包,上图解压缩后的情况 5、打开html文件,内容大致如下: ▲图 pocorgtfo19.html是一个简单的文本网页 这三个文件显然具有相同的MD5值,为什么具有相同MD5值的三个文件,分别能够正常打开,打开的样子却各不相同、甚至大相径庭,您想到了吗? 【编者注】小编曾经在2018年11月18日发布了一篇《如何“捏造”两份内容不同、MD5值却相同的电子数据证据?》,文中介绍了使用工具,通过碰撞原理构造两个内容不同、MD5值相同的文件的过程。但那里构造的文件非常简单,区别处一眼便知。本文介绍的实例,显然更让人震撼,毕竟对于数据格式复杂的文件而言,格式校验也是需要考虑的因素。 小编甚至想收回以前说过的一句话,“构造出的具有相同MD5值文件的电子数据,其中至少一份,不具有社会学意义”。 |
|