folta самое интересное, шо даже если и получится "на выходе" некий отдельный файлик - кто/чем докажет, шо это контейнер.. :)
но есть и "минус" - тогда в ход может пойти и паяльник.. вот если бы эта тулза могла лепить "нечто" в произвольные файлы, а не только в медиа-форматы.. к примеру - в длл-ки и/или экзешники.. вот тогда бы это был вариант (почти) отличной отмазы с ... э-эмм.. "обрыгавшимся вирьём".. :D
..по поводу ТС-хантера (и ему подобных тулз), с которого всё и началось - есть [more=ещё один простой вариантик]исходя из
их фака:Цитата: Q. TCHunt found all of my encrypted volumes. How does it work?
A. TCHunt searches for four (4) file attributes. This is all TCHunt does:
1. The suspect file size modulo 512 must equal zero.
2. The suspect file size is at least 19 KB in size (although in practice this is set to 15 MB).
3. The suspect file contents pass a chi-square distribution test.
4. The suspect file must not contain a common file header.
из п.1 вырисовывается задачка, упирающаяся в
размер тома, связанный с размером кластера тома (кратен 512 байт)..
решение которой, в принципе, можно увидеть на скрине:
здесь:
Too_Small: TC-test.txt <- некий мелкий файл, "довесок", размером х (я взял х=1 байт)
modulo_true: TC-test.vol
20971520 <- том, созданный в самом ТС (исходный) *
......
Suspect_File: TC-test.vol <- ..который и был "предположительно" определён.. :)
modulo_false: TC-test.voltxt 20971521 <- а это он же, но с "прилепленным" к нему "довеском", по методу от
WildGoblin'а (№2 в шапке: copy /b 1+2 3), который хантер теперь уже пропускает.. т.е. том остался никуда не запрятанным, но доступным для монтирования и оперативной работы (проверено).. :)
modulo_false: UpdatePackLive-13.1.15.exe 82343768 <- а это просто некий большой файл, но тоже не детектируемый по причине некратности размеру кластера..
* отмечу, шо маленькие файлы хантер также не видит в упор (игнорирует).. есть заявленный минимум 19кб (в хантере установлено 15Мб, но, видимо, могут быть тулзы и с другим мин.размером), у меня "охотник" не увидел том 1Мб.. сталыть, есть вариант для параноиков - хранить ключ в мелком контейнере.. можно - ещё и в скрытом.. ещё и на флэхе/дроп-боксе.. :D
не скажу, шо это "супер-пупер-защита".. возможно, и на этот способ есть свой "детектор"..
но! - чем больше известно о методах поиска, тем больше вариантов из "объезда" можно применить.. ;)
вопчем, старик Энгельс был прав нащёт "единства и борьбы противоположностей".. Х)[/more].. ну, кроме уже засунутых в шапку "объездов" по скрытию контейнера в потоках, архивах и прилепления тома к другому файлу (с "нормальным" заголовком).. интересует ведь, шоб просто и быстро убрать с глаз долой, но
сохранить оперативность доступа/работы..
ессно, любая конструктивная критика всячески приветствуется.. +))
